/etc/shadowをもう一度ハッシュしてください。 NISユーザーに強制的にパスワードを変更させることはできますか?

/etc/shadowをもう一度ハッシュしてください。 NISユーザーに強制的にパスワードを変更させることはできますか?

現在、CentOS環境をDebian環境に移行しています。ユーザーは NIS を使用してネットワーク経由でログインします。/etc/shadowユーザーに継続性を提供できるように、古いサーバーから新しいサーバーに複製したいと思います。私は2つの問題を見つけました。

  • ユーザーIDの競合この問題は、CentOSファイルのUIDに500を追加することで簡単に解決できます。shadowCentOSはUID 500で起動し、DebianはUID 1000で起動するからです。
  • 他のパスワードハッシュそれが私を殺すことです。 CentOSはパスワードハッシュを使用しているようですが、md5Debianはsha-512ユーザーが私に尋ねることなくシステムにログインできるようにしたいです。

インターネットを検索した後、次のように許容可能な解決策を見つけました。

passwd -d uname
chage -d 0 uname

最初の行は、ユーザーがuname直接ログインできるように空のパスワードを設定します。 2行目ではunameパスワードが期限切れになり、次回ログインするときにパスワードを変更する必要があります。私はこれが十分に良い妥協だと思います。

ユーザーがサーバーにログインしている場合は問題ありません。ユーザーが他のシステムでNIS認証を試みると、この方法は機能しません。それでも「パスワード変更が必要」というメッセージが表示されますが、「認証トークン操作エラー」が表示されます。これは、パスワードの変更が試行passwdされずに通過されたためであると推測されますyppasswd。これが私が現在経験しているジレンマです。ユーザーが最初にサーバーにログインするのを気にせずに継続性を達成するにはどうすればよいですか?


編集する

  • これ私が言ったものと非常に似ていますが、NISについては言及しません。
  • これこれは実際には不可能であることを示すようです。誰でもこれを反論または確認できますか?

編集2 ユーザーがサーバーにログインしようとすると、エラーメッセージなしで正常にログインすることを確認しました。 (NISをテストするため)別のコンピュータからrootに切り替えて、suNISユーザーの1人を入力しようとしました。 「認証失敗(無視)」という警告が出て成功しました。私はこれがPAMポリシーチェーンから来たと思います。

答え1

パスワードを再ハッシュすることはまったく問題ではありません。私にとって必要なのは、/etc/groupグループIDが1000で始まり、ユーザーがいくつかのコメント作成者が推測したように、古いパスワードを使用して簡単にログインできるように、古いパスワードを変更することです。

関連情報