политика с pam_ldap - pwdReset не имеет никакого эффекта при входе в систему из Ubuntu

Убедитесь, что для параметра pwdMustChange установлено значение TRUE в действующей политике паролей пользователя.

См. slapo-ppolicy manpage для получения дополнительной информации.

Я тоже столкнулся с этим - моя особая проблема заключалась в том, что, хотя некоторые сторонние приложения (в нашем случае Okta) ищут pwdReset , pam_ldap плагин не работает.

После просмотра исходного кода для pam_ldap , размещенного здесь: https://github.com/wfhu/pam_ldap - Я Мы пришли к выводу, что pam_ldap полностью игнорирует pwdReset , который является частью OpenLDAP ppolicy.schema . Вы можете найти схему, которую использует OpenLDAP, здесь: http://www.zytrax.com/books/ldap/ape/ppolicy.html

ПРИМЕЧАНИЕ. Я считаю, что проблема в том, что атрибуты политики OpenLDAP отличаются от исходная схема, в которой (Netscape? / UniversityOfMichigan? / Sun?) использовалась реализация LDAP-сервера, чего и ожидает pam_ldap .

То, что правильно работает , - это тень * атрибуты, являющиеся частью объектного класса shadowAccount .

[Шаги для Ubuntu]

1. Убедитесь, что у ваших пользователей установлена ​​политика паролей в LDAP, проверив pwdPolicySubentry :

    ldapsearch (...) -b dc =  например, dc = org "(uid = testinguser)" pwdPolicySubentry
    

2. Проверка информации о shadow * вашего пользователя

    slapcat -a uid = testinguser
    

3. Установите для shadowLastChange значение 0, чтобы разрешить pam_ldap распознать просроченный пароль

   Это можно сделать с помощью сценария, который проверяет pwdReset и обновляет shadowLastChange .

Когда это настроено, PAM правильно заставит пользователя сменить пароль при входе в систему.

См. Также: http://www.openldap.org/lists/openldap-technical/201210/msg00044.html