Es gibt eine SLES 11-Maschine. Die Benutzer melden sich über SSH und Pubkey an (gemischt, einige Benutzer verwenden das Kennwort, andere den SSH-Schlüssel).
Die sshd_config hat:
UsePAM yes
PasswordAuthentication yes
PubkeyAuthentication yes
Das Problem: Wenn das Kennwort für einen Benutzer abläuft, der die Pubkey-Anmeldung verwendet, wird der Benutzer aufgefordert, das Kennwort zu ändern.
Die Frage: Wie können wir die PAM- oder sshd-Konfiguration so einstellen, dass Benutzer sich anmelden können, wenn sie einen gültigen SSH-Schlüssel haben und das Kennwort abgelaufen ist? - Ohne "Passwort ändern" aufzutauchen.
UPDATE 1: Die Lösung kann nicht sein: "UsePAM no"
SERVER:~ # cat /etc/pam.d/sshd
#%PAM-1.0
auth requisite pam_nologin.so
auth include common-auth
account requisite pam_nologin.so
account include common-account
password include common-password
session required pam_loginuid.so
session include common-session
SERVER:~ #
UPDATE 2: Die Lösung kann nicht sein: Setzen Sie das Benutzerkennwort so, dass es niemals abläuft
UPDATE 3:
SERVER:/etc/pam.d # cat common-account
#%PAM-1.0
...
account required pam_unix2.so
account required pam_tally.so
SERVER:/etc/pam.d #
ForcedPasswdChange No
dies ist für SSH1
ForcedPasswdChange No
dies nach Ablauf nicht mehr funktioniert. Sie suchen nach einer Lösung, mit der sich abgelaufene Benutzer anmelden können
pam_unix.so
aus demsession
Abschnitt von entfernen/etc/pam.d/sshd
(und ihn durch ersetzen,pam_lastlog.so
wenn er nicht vorhanden ist. Ich bin mir nicht sicher, obpam_unix.so/session
derjenige dies tut oder nicht, aber es fühlt sich wie der richtige Ort an.