11.2.16. ドメインオプション: パスワード有効期限の設定

パスワードポリシーは一般的に、パスワードの有効期間と期限、変更時期を設定します。これらのパスワード有効期限ポリシーは ID プロバイダーを通してサーバー側で評価され、その後に PAM サービスを通して SSSD で警告が処理され、表示されます。
パスワードの警告には設定可能な領域が 2 つあります。
  • 全ドメインについて、パスワードの有効期限切れの警告をどの程度前もって表示するかというグローバルデフォルト。これは、PAM サービス向けに設定されます。
  • パスワードの有効期限切れの警告をどの程度前もって表示するかというドメインごとに設定。
    ドメインレベルのパスワード有効期限警告を使用する際には、認証プロバイダー (auth_provider) もドメイン向けに設定する必要があります。
例:
[sssd]
services = nss,pam
...

[pam]
pam_pwd_expiration_warning = 3
...

[domain/EXAMPLE]
id_provider = ipa
auth_provider = ipa
pwd_expiration_warning = 7
パスワード有効期限警告が表示されるには、サーバーから SSSD に警告が送信される必要があります。サーバーからパスワード警告が送信されないと、パスワード有効期限が SSSD で設定された期間内であっても、SSSD はメッセージを表示しません。
SSSD でパスワード有効期限警告が設定されていないか、0 に設定されていると、SSSD パスワード警告フィルターが適用されず、サーバー側のパスワード警告が自動的に表示されます。

注記

パスワード警告がサーバーから送信されていれば、PAM もしくはドメインパスワード有効期限は本来、バックエンド ID プロバイダーのパスワード警告設定に優先 (もしくは無視) します。
例えば、バックエンド ID プロバイダーでは警告が 28 日間に設定されていて、SSSD の PAM サービスでは 7 日間に設定されていたとします。プロバイダーは 28 日間で SSSD に警告を送信しますが、SSSD 設定のパスワード有効期限の通り、ローカルでは 7 日前になるまで警告は表示されません。

注記

同様のパラメーターは、Kerberos 認証情報をキャッシュする Kerberos 認証プロバイダー krb5_store_password_if_offline の使用時にも利用可能です。