Срок действия пароля: pam_pwd_expiration_warning и pwd_expiration_warning
Источник информации: Red Hat Traiining. Domain Options: Setting Password Expirations
Общепринято задавать в политике применения паролей срок их действия. После истечения этого срока пароль становится недействительным и должен быть заменен. Сроки действия паролей рассчитываются на контроллере домене. Служба SSSD получает информацию о сроках от доменных служб, и может выдавать соответствующие предупреждения при аутентификации с использованием PAM-стека.
| Предупреждение о приближении срока истечения пароля всегда должно быть отправлено доменными службами. Если доменные службы не отправляют такое сообщение, то служба SSSD никогда не выдаст предупреждение. Таким образом, настройка службы SSSD может только уменьшить срок выдачи предупреждений пользователю (сообщения будут игнорироваться, если срок истечения больше заданного в настройках службы SSSD), но не может увеличить этот срок (так как сообщения от будут поступать до заданного в домене срока). |
Включение отображения предупреждений о приближении истечения срока действия пароля осуществляется двумя параметрами конфигурации. Значения этих параметров определяют за какое время (в днях) до истечения срока начать выдавать предупреждения:
- pam_pwd_expiration_warning — параметр задается в секции PAM и определяет глобальное значение, используемое по умолчанию для всех доменов.
- pwd_expiration_warning — параметр задается в секции параметров домена и определяет значение для этого домена. При использовании этого параметра обязательно должен быть указана служба аутентификации домена (authentication provider, задается параметром auth_provider, или, при отсутствии этого параметра, используется значение параметра id_provider).
Если параметры не заданы, то предупреждения не выдаются. Если значение параметра 0, то предупреждения выдаются всегда по мере их получения.
Например:
[sssd] services = nss,pam ... [pam] pam_pwd_expiration_warning = 3 ... [domain/EXAMPLE] id_provider = ipa auth_provider = ipa pwd_expiration_warning = 7 |
Предупреждения о сроке истечения пароля при беспарольной аутентификации
По умолчанию срок истечения пароля проверяется только при вводе пользователем пароля в процессе аутентификации. Для включения проверки срока истечения пароля при входе без использования пароля (например, в сессии SSH):
- Параметру access_provider присвоить значение ldap.
- Добавить параметр ldap_pwd_policy со значением shadow.
- Добавить параметр ldap_access_orderо с одним из значений:
- pwd_expire_policy_reject — отобразить предупреждение и, если срок действия пароля истек, запретить вход;
- pwd_expire_policy_warn — отобразить предупреждение и разрешить вход, даже если срок действия пароля истек;
- pwd_expire_policy_renew — отобразить предупреждение, и предложить сменить пароль, если его срок действия истек.
Пример:
[domain/EXAMPLE] access_provider = ldap ldap_pwd_policy = shadow ldap_access_order = pwd_expire_policy_warn |
Более подробную информацию см. в справочной системе man sssd-ldap(5).
Состояние учетной записи: pam_account_expired_message и pam_account_locked_message
| Сообщение о состоянии учетной записи всегда должно быть отправлено доменными службами. Если доменные службы не отправляют такое сообщение, то служба SSSD никогда не выдаст предупреждение. |
Информацию о состоянии учетной записи можно корректировать с помощью следующих параметров:
pam_account_expired_message —позволяет настроить сообщение об истечении срока действия учетной записи. Дополняет используемое по умолчанию сообщение 'Permission denied'.
Для того, чтобы это сообщение выдавалось для служб SSH параметру pam_verbosity должно быть присвоено значение 3 (show all messages and debug information).
Пример:pam_account_expired_message = Account expired, please contact help desk.
pam_account_locked_message —позволяет настроить сообщение об истечении срока действия учетной записи. Дополняет используемое по умолчанию сообщение 'Permission denied'. Пример:
pam_account_locked_message = Account locked, please contact help desk.