Sto cercando di configurare i criteri password degli utenti su RHEL 6.6 e desidero che il sistema chieda agli utenti appena creati di modificare la password iniziale al primo accesso.

Si noti che ho provato a impostare la variabile EXPIRE su 0 e INATTIVO su -1 in / etc / default / useradd, ma porta alla scadenza del nuovo account utente dopo la creazione. L'output del comando chage dopo la creazione dell'utente con queste variabili è:

 # chage -l foo
 Last password change                                : Feb 22, 2015
 Password expires                                    : May 23, 2015
 Password inactive                                   : never
 Account expires                                     : Feb 22, 2015
 Minimum number of days between password change      : 1
 Maximum number of days between password change      : 90
 Number of days of warning before password expires   : 7

Quando provo ad accedere con un utente, viene visualizzato il messaggio "Il tuo account è scaduto. Contatta l'amministratore di sistema".

Ma se apro la finestra "Proprietà utente", seleziono la scheda "Informazioni password" e seleziono "Forza modifica password al prossimo accesso", il risultato sarà quello che mi aspetto. Al nuovo utente verrà chiesto di cambiare la password. L'output del comando chage in questo caso sarà:

 # chage -l foo2
 Last password change                                : password must be changed
 Password expires                                    : password must be changed
 Password inactive                                   : password must be changed
 Account expires                                     : never
 Minimum number of days between password change      : 1
 Maximum number of days between password change      : 90
 Number of days of warning before password expires   : 7

Quando accedo con l'utente foo2, il sistema mi chiede di cambiare la password.

Quindi, c'è un modo per configurare il sistema per impostare i parametri dell'account utente al momento della creazione come nel secondo caso?

upd

 cat /etc/default/useradd
 # useradd defaults file
 GROUP=100
 HOME=/home
 INACTIVE=-1
 EXPIRE=0
 SHELL=/bin/bash
 SKEL=/etc/skel
 CREATE_MAIL_SPOOL=yes

Anche se commento INATTIVO o lo imposto su un valore positivo, l'account è scaduto, ma non una password.

Inoltre, ho configurato PAM sulla macchina.

Aggiornamento 2

Ho controllato questo sulla macchina con RHEL 6.2 e senza configurazione PAM. L'effetto è lo stesso.

Dato che stai chiedendo di RHEL6, ho esaminato il codice sorgente per useradd (che viene consegnato come parte del pacchetto 'shadow'). In useradd.c è una funzione chiamata new_spent in cui imposta una nuova voce della password shadow. Qui risolve il problema "password scaduta alla creazione" in questo modo:

if (0 == spent->sp_lstchg) {
/* Better disable aging than requiring a password change */
spent->sp_lstchg = -1;

Soooo ... Se si imposta uno zero lo rende un -1.

Gli autori del programma hanno codificato specificamente contro l'impostazione dell'invecchiamento su 0, quindi non importa se lo si imposta su 0 nel parametro / etc / default / useradd per EXPIRE. (Se fossi stato io a fare quel codice avrei cercato di vedere se l'utente stava impostando la password nel comando e quindi permettendo la scadenza, ma non ero io ...)

Inoltre, è stato suggerito sopra che è possibile posizionare uno script in /usr/local/sbin/adduser.local per eseguire un comando 'chage'. Questo è stato un buon consiglio per un sistema Debian / Ubuntu in cui useradd è uno script perl che esegue effettivamente quel file se lo trova, ma su RHEL il comando useradd è un binario C.

Se fossi in te ed ero determinato a ottenere quel comportamento sull'utente RHEL6 e avrei ottenuto l'SRPM per il pacchetto shadow, commentare quelle righe sopra e fare un rpmbuild sul pacchetto e rockaway. Vincente!

Perché non aggiungere questo a uno script?

passwd -e username

Se tutto ciò che cerchi è il primo accesso, funzionerà. La -escade la password di account immediatamente, in modo che il successivo accesso l'utente è costretto ad aggiornare la propria password? (vedi man passwd)

Automatico:

Aggiorna questo file:

/etc/default/useradd

Questo file contiene i dettagli, quali saranno tutte le impostazioni applicate ai nuovi utenti creati nel sistema con il comando useradd.

Basta impostare il valore di EXPIRE = 0 in questo file e, successivamente, ogni volta che verrà creato un nuovo utente, saranno costretti a cambiare la password al prossimo accesso.

Fonte: GeekRide

Ora, modificare quel file nel terminale è stato difficile. Quindi ho modificato le autorizzazioni del file su 777 usando:

chmod 777 /etc/default/useradd

e lo ha modificato in grub.

(Grazie a Linux Command .)

Controllato nella mia macchina virtuale Ubuntu 12.04.5.

Manuale:

Utilizzare la sintassi seguente per forzare un utente a modificare la password al successivo accesso su un Linux:

# chage -d 0 {user-name}

In questo esempio, imponi a tom di cambiare la sua password al prossimo accesso, inserisci:

# chage -d 0 tom

-d 0: imposta il numero di giorni dal 1 ° gennaio 1970 in cui la password è stata modificata l'ultima volta. La data può anche essere espressa nel formato AAAA-MM-GG. Impostandolo su zero, costringerai l'utente a cambiare la password al primo accesso.

Fonte: nixCraft

Copia-incolla pura. Letteralmente. ;)
Controllato sulla mia Ubuntu 12.04.5 VM.