Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

13.2.17. ドメインオプション: パスワードの有効期限の設定

パスワードポリシーは通常、有効期限を設定し、その後パスワードを交換する必要があります。パスワードの有効期限ポリシーは、アイデンティティープロバイダーを介してサーバー側で評価され、PAM サービスを介して SSSD で警告を処理し、表示することができます。
パスワードの有効期限の警告を表示する方法は 2 つあります。
  • pam_pwd_expiration_warning パラメーターは、パスワードの有効期限の前に警告を表示する前に、すべてのドメインのグローバルデフォルト設定を定義します。これは PAM サービスに設定されます。
  • pwd_expiration_warning パラメーターは、パスワードの有効期限の前に警告を表示する前に、ドメインごとの設定を定義します。
    ドメインレベルのパスワード有効期限の警告を使用する場合は、認証プロバイダー(auth_provider)もドメインに設定する必要があります。
以下に例を示します。
[sssd]
services = nss,pam
...

[pam]
pam_pwd_expiration_warning = 3
...

[domain/EXAMPLE]
id_provider = ipa
auth_provider = ipa
pwd_expiration_warning = 7
警告を表示するには、パスワードの有効期限の警告をサーバーから SSSD に送信する必要があります。サーバーからパスワード警告が送信されていない場合は、パスワードの有効期限が SSSD で設定された期間内にある場合でも、SSSD を介してメッセージは表示されません。
パスワード有効期限の警告が SSSD で設定されていない場合や、0 に設定されていない場合は、SSSD パスワードの警告フィルターが適用されず、サーバー側のパスワード警告が表示されます。
注記
パスワード警告がサーバーから送信される限り、PAM またはドメインパスワードの有効期限は、バックエンドアイデンティティープロバイダーのパスワード警告設定を上書きします。たとえば、警告期間が 28 日に設定され、SSSD の PAM サービスが 7 日に設定されているバックエンドアイデンティティープロバイダーについて考えてみましょう。プロバイダーは 28 日以降の SSSD に警告を送信しますが、SSSD 設定で指定したパスワードの有効期限に従い、警告が 7 日までローカルで表示されません。

パスワード以外の認証についてのパスワードの有効期限の警告

デフォルトでは、パスワードの有効期限は、ユーザーが認証中にパスワードを入力する場合にのみ検証されます。ただし、たとえば SSH ログイン時など、パスワード以外の認証方法が使用されている場合でも、有効期限チェックを実行し、警告を表示するように SSSD を設定できます。
パスワード以外の認証方法でパスワード有効期限の警告を有効にするには、以下を実行します。
  1. sssd.conf ファイルで access_provider パラメーターが ldap に設定されていることを確認します。
  2. sssd.confldap_pwd_policy パラメーターが設定されていることを確認してください。多くの場合、適切な値は shadow です。
  3. sssd.confldap_access_order パラメーターに、以下の pwd_expire_* の値のいずれかを追加します。パスワードが期限切れになる場合は、これらの値の 1 つが有効期限の警告のみを表示します。また、以下を追加しています。
    • pwd_expire_policy_reject は、パスワードの有効期限が切れている場合にユーザーがログインできないようにします。
    • pwd_expire_policy_warn を使用すると、パスワードが期限切れであってもユーザーはログインできます。
    • pwd_expire_policy_renew により、ユーザーが期限切れのパスワードでログインしようとすると、すぐにパスワードを変更するように求められます。
    以下に例を示します。
    [domain/EXAMPLE]
    access_provider = ldap
    ldap_pwd_policy = shadow
    ldap_access_order = pwd_expire_policy_warn
    
ldap_access_order の使用方法とその値の詳細は、sssd-ldap(5) の man ページを参照してください。