C'è una macchina SLES 11. Gli utenti accedono tramite SSH e pubkey (misto, alcuni utenti usano la password, altri usano la chiave ssh)
Sshd_config ha:
UsePAM yes
PasswordAuthentication yes
PubkeyAuthentication yes
Il problema: se la password scade per un utente che utilizza l'accesso pubkey, verrà richiesto all'utente di modificare la password.
La domanda: come possiamo impostare PAM o sshd config per consentire agli utenti di accedere se hanno una chiave SSH valida e sono scadute la password? - Senza spuntare "cambia password".
AGGIORNAMENTO N. 1: la soluzione non può essere: "UsePAM no"
SERVER:~ # cat /etc/pam.d/sshd
#%PAM-1.0
auth requisite pam_nologin.so
auth include common-auth
account requisite pam_nologin.so
account include common-account
password include common-password
session required pam_loginuid.so
session include common-session
SERVER:~ #
AGGIORNAMENTO # 2: La soluzione non può essere: impostare la password dell'utente in modo che non scada mai
UPDATE # 3:
SERVER:/etc/pam.d # cat common-account
#%PAM-1.0
...
account required pam_unix2.so
account required pam_tally.so
SERVER:/etc/pam.d #
ForcedPasswdChange No
questo è per SSH1
ForcedPasswdChange No
non funzionerà dopo la scadenza. stai cercando una soluzione che permetta all'utente scaduto di accedere
pam_unix.so
dallasession
sezione di/etc/pam.d/sshd
(e sostituendolo conpam_lastlog.so
se non c'è. Non sono sicuro chepam_unix.so/session
sia quello che lo sta facendo o no, ma sembra il posto giusto.