SSHキーを介してログインすると、LDAPパスワードポリシー(パスワードの有効期限、パスワード警告、失敗した試みによるパスワードロックなど)がバイパスされることがわかりました。キーベースのSSHログインがパスワードポリシーに準拠する方法はありますか?
私のクライアントはかなり古いバージョン(RHEL 4)なので、sssdのインストールはオプションではありません。
答え1
私が達成したいのは、認証方法をなりすまし、公開鍵を使用して接続できないようにする方法です。
PubkeyAuthentication
の設定を使用して公開鍵認証を無効にできます/etc/ssh/sshd_config
。からman sshd_config
:
PubkeyAuthentication
Specifies whether public key authentication is allowed. The
default is “yes”. Note that this option applies to protocol ver‐
sion 2 only.
ユーザーが公開鍵でログインするときにパスワードを変更することを強制するという元のアイデアは実際には意味がありません。公開鍵認証はパスワードとは何の関係もないからです。公開鍵を使ってサーバーに接続するスクリプトならどうでしょうか?新しいパスワードを設定できません。ユーザーがパスワードを知らない公開鍵を使用して接続するとどうなりますか?passwd
メッセージが表示されたときに古いパスワードを入力できないため、新しいパスワードを設定できません。