Я использую btrfs ssd мягкий набег (mkfs.btrfs-m единственный/dev/sde-d raid0/dev/sdd/dev/sdc)
Убедитесь, что для параметра pwdMustChange
установлено значение TRUE
в действующей политике паролей пользователя.
См. slapo-ppolicy manpage для получения дополнительной информации.
Я тоже столкнулся с этим - моя особая проблема заключалась в том, что, хотя некоторые сторонние приложения (в нашем случае Okta) ищут pwdReset
, pam_ldap
плагин не работает.
После просмотра исходного кода для pam_ldap
, размещенного здесь: https://github.com/wfhu/pam_ldap - Я Мы пришли к выводу, что pam_ldap
полностью игнорирует pwdReset
, который является частью OpenLDAP ppolicy.schema
. Вы можете найти схему, которую использует OpenLDAP, здесь: http://www.zytrax.com/books/ldap/ape/ppolicy.html
ПРИМЕЧАНИЕ. Я считаю, что проблема в том, что атрибуты политики OpenLDAP отличаются от исходная схема, в которой (Netscape? / UniversityOfMichigan? / Sun?) использовалась реализация LDAP-сервера, чего и ожидает pam_ldap
.
То, что правильно работает , - это тень *
атрибуты, являющиеся частью объектного класса shadowAccount
.
[Шаги для Ubuntu]
Убедитесь, что у ваших пользователей установлена политика паролей в LDAP, проверив pwdPolicySubentry
:
ldapsearch (...) -b dc = например, dc = org "(uid = testinguser)" pwdPolicySubentry
Проверка информации о shadow *
вашего пользователя
slapcat -a uid = testinguser
Установите для shadowLastChange
значение 0, чтобы разрешить pam_ldap
распознать просроченный пароль
Это можно сделать с помощью сценария, который проверяет pwdReset
и обновляет shadowLastChange
.
Когда это настроено, PAM правильно заставит пользователя сменить пароль при входе в систему.
См. Также: http://www.openldap.org/lists/openldap-technical/201210/msg00044.html