SSHキーベースのログインはパスワードポリシーをバイパスします。

SSHキーベースのログインはパスワードポリシーをバイパスします。

SSHキーを介してログインすると、LDAPパスワードポリシー(パスワードの有効期限、パスワード警告、失敗した試みによるパスワードロックなど)がバイパスされることがわかりました。キーベースのSSHログインがパスワードポリシーに準拠する方法はありますか?

私のクライアントはかなり古いバージョン(RHEL 4)なので、sssdのインストールはオプションではありません。

答え1

私が達成したいのは、認証方法をなりすまし、公開鍵を使用して接続できないようにする方法です。

PubkeyAuthenticationの設定を使用して公開鍵認証を無効にできます/etc/ssh/sshd_config。からman sshd_config

 PubkeyAuthentication
         Specifies whether public key authentication is allowed.  The
         default is “yes”.  Note that this option applies to protocol ver‐
         sion 2 only.


ユーザーが公開鍵でログインするときにパスワードを変更することを強制するという元のアイデアは実際には意味がありません。公開鍵認証はパスワードとは何の関係もないからです。公開鍵を使ってサーバーに接続するスクリプトならどうでしょうか?新しいパスワードを設定できません。ユーザーがパスワードを知らない公開鍵を使用して接続するとどうなりますか?passwdメッセージが表示されたときに古いパスワードを入力できないため、新しいパスワードを設定できません。

関連情報