SSH funziona con la password di Kerberos scaduta

Ho installato SSH – Single Sign on utilizzando Kerberos V5. Quando una password utente è scaduta, restituisce ' Avviso: la password è scaduta. 'e permette all'utente di accedere! Ho anche apportto modifiche nella /etc/pam.d/password-auth pam_krb5.so tale che pam_krb5.so viene sopra pam_unix.so :

Stack di authentication:

  • Situazione teorica riguardante le chiavi ssh perse
  • Perché non posso ssh o ping la mia nuova versione Amazon EC2?
  • Inoltra l'authentication Kerberos su Ansible
  • Come posso impostare un'informazione di port tramite SSH?
  • CUPS code di printing a distanza
  • Alternative a SSH per le connessioni tunneling
  •  auth requisite pam_krb5.so uid >= 500 #Google authentication configuration module auth [success=1 default=ignore] pam_access.so accessfile=/etc/security/access-local.conf auth requisite pam_google_authenticator.so auth [success=1 default=ignore] pam_unix.so nullok try_first_pass auth required pam_deny.so auth requisite pam_succeed_if.so uid >= 0 quiet 

    Stack account:

     account required pam_unix.so broken_shadow account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_krb5.so uid >= 500 account required pam_permit.so 

    Vi preghiamo di suggerire eventuali modifiche per impedire agli utenti con password scadute di accedere.

    LOG:

    krb5kdc.log

     Jun 03 11:34:29 <HOST-NAME> krb5kdc[1752](info): AS_REQ (4 etypes {18 17 16 23}) 192.168.181.40: CLIENT KEY EXPIRED: testyoga@EXAMPLE.COM for krbtgt/EXAMPLE.COM@EXAMPLE.COM, Password has expired Jun 03 11:34:47 <HOST-NAME> krb5kdc[1752](info): AS_REQ (4 etypes {18 17 16 23}) 192.168.181.40: ISSUE: authtime 1464933887, etypes {rep=18 tkt=18 ses=18}, testyoga@EXAMPLE.COM for kadmin/changepw@EXAMPLE.COM – 

    /var/log/auth.log

     /var/log/auth.log : /var/log/auth.log : pam_krb5[24516]: authentication succeeds for 'testyoga' (testyoga@EXAMPLE.COM) – 

    One Solution collect form web for “SSH funziona con la password di Kerberos scaduta”

    Edit:

    Sulla base del contenuto della pila account fornita, sembra che pam_krb5.so verrà ignorato se pam_localuser.so riesce. Questa è la causa più probabile delle restrizioni per l'invecchiamento della password che non vengono applicate.


    Ecco quello che sappiamo finora:

    • I messaggi registrati confermano che la password dell'utente è scaduta.
    • pam_krb5 riesce in authentication nonostante questo.

    Sospetto che il tuo problema è che non hai il pile account configurato correttamente. Ci sono alcune implementazioni diverse di pam_krb5 là fuori e non tutti implementano il controllo dell'invecchiamento della password all'interno dello stack auth :

    http://linux.die.net/man/8/pam_krb5

    Quando un utente accede, la function di authentication del module esegue un semplice controllo delle password e, se ansible, ottiene le credenziali di Kerberos 5, memorizzandole per l'utilizzo successivo. Quando l'applicazione richiede l'initialization delle credenziali (o apre una session) vengono creati i file di ticket abituali. Quando l'applicazione richiede in seguito la cancellazione delle credenziali o la chiusura della session, il module elimina i file dei ticket. Quando l'applicazione richiede la gestione dell'account, se il module non ha partecipato all'authentication dell'utente, segnala che libpam ignorerà il module. Se il module ha partecipato all'authentication dell'utente, verificherà una password utente scaduta e verificherà l'authorization dell'utente utilizzando il file .k5login dell'utente autenticato, che dovrebbe essere accessibile al module.

    Il lavoro dello stack account è quello di applicare le politiche di accesso, indipendentemente dal fatto che l'authentication sia rioutput. Questo è importnte, poiché lo stack auth viene spesso ignorato quando utilizza l'authentication basata su chiave. Spetta agli sviluppatori individuali decidere se l'invecchiamento della password dovrebbe anche provocare un errore quando si chiama il module nel context di auth .

    Viceversa, l'implementazione di pam_krb5 mantenuta da Russ Allbery (il mio preferito) avrebbe preso questo in uno stack di auth .

    https://www.eyrie.org/~eagle/software/pam-krb5/pam-krb5.html

    account

    Fornisce un'implementazione di pam_acct_mgmt (). Tutto quello che fa è fare lo stesso controllo di authorization eseguito dall'implementazione pam_authenticate () descritta in precedenza.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.