Срок действия пароля: pam_pwd_expiration_warning и pwd_expiration_warning

Источник информации: Red Hat Traiining. Domain Options: Setting Password Expirations

Общепринято задавать в политике применения паролей срок их действия. После истечения этого срока пароль становится недействительным и должен быть заменен. Сроки действия паролей рассчитываются на контроллере домене. Служба SSSD получает информацию о сроках от доменных служб, и может выдавать соответствующие предупреждения при аутентификации с использованием PAM-стека.

Предупреждение о приближении срока истечения пароля всегда должно быть отправлено доменными службами. Если доменные службы не отправляют такое сообщение, то служба SSSD никогда не выдаст предупреждение. Таким образом, настройка службы SSSD может только уменьшить срок выдачи предупреждений пользователю (сообщения будут игнорироваться, если срок истечения больше заданного в настройках службы SSSD), но не может увеличить этот срок (так как сообщения от будут поступать до заданного в домене срока).

Включение отображения предупреждений о приближении истечения срока действия пароля осуществляется двумя параметрами конфигурации. Значения этих параметров определяют за какое время (в днях) до истечения срока начать выдавать предупреждения:

pam_pwd_expiration_warning — параметр определяет глобальное значение, используемое по умолчанию для всех доменов. Параметр задается в секции PAM.
pwd_expiration_warning — параметр определяет значение для одного домена. Задается в секции параметров домена. При использовании этого параметра обязательно должен быть указана служба аутентификации домена (authentication provider, параметр auth_provider).

Если значение параметров 0, то предупреждения выдаются всегда по мере их получения.

Например:

[sssd]
services = nss,pam
...

[pam]
pam_pwd_expiration_warning = 3
...

[domain/EXAMPLE]
id_provider = ipa
auth_provider = ipa
pwd_expiration_warning = 7

Предупреждения о сроке истечения пароля при беспарольной аутентификации

По умолчанию срок истечения пароля проверяется только при вводе пользователем пароля в процессе аутентификации. Для включения проверки срока истечения пароля при входе без использования пароля (например, в сессии SSH):

Параметру access_provider присвоить значение ldap.
Добавить параметр ldap_pwd_policy со значением shadow.
Добавить параметр ldap_access_orderо с одним из значений:
1. pwd_expire_policy_reject — отобразить предупреждение и, если срок действия пароля истек, запретить вход;
2. pwd_expire_policy_warn — отобразить предупреждение и разрешить вход, даже если срок действия пароля истек;
3. pwd_expire_policy_renew — отобразить предупреждение, и предложить сменить пароль, если его срок действия истек.

Пример:

[domain/EXAMPLE]
access_provider = ldap
ldap_pwd_policy = shadow
ldap_access_order = pwd_expire_policy_warn

Более подробную информацию см. в справочной системе man sssd-ldap(5).