我遵循这个优秀的post来configurationKerberos + LDAP:
http://koo.fi/blog/2013/01/06/ubuntu-12-04-active-directory-authentication/
但是,有一些本地用户用于服务。
当我尝试更改其中一个密码时,以root身份请求Current Kerberos password然后退出:
passwd service1 Current Kerberos password: (I hit enter) Current Kerberos password: (I hit enter) passwd: Authentication token manipulation error passwd: password unchanged
如果我切换到本地用户并执行passwd ,则会向Kerberos请求一次,然后返回到本地:
$ passwd
Current Kerberos password:
Changing password for service1.
(current) UNIX password:
我的configuration类似于我上面发布的网站,一切工作正常,我不能以root身份更改本地用户的密码。
在此先感谢您的帮助。
3.8.0-29-generic #42~precise1-Ubuntu
# cat /etc/pam.d/common-auth auth [success=3 default=ignore] pam_krb5.so minimum_uid=1000 auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass auth [success=1 default=ignore] pam_ldap.so use_first_pass auth requisite pam_deny.so auth required pam_permit.so auth optional pam_cap.so # cat /etc/pam.d/common-password password [success=3 default=ignore] pam_krb5.so minimum_uid=1000 password [success=2 default=ignore] pam_unix.so obscure use_authtok try_first_pass sha512 password [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass password requisite pam_deny.so password required pam_permit.so password optional pam_gnome_keyring.so
在/etc/pam.d/common-password中,将第一行中的minimum_uid更改为大于1000的值,例如:
password [success=3 default=ignore] pam_krb5.so minimum_uid=10000
这对我有效。 这是您在root用户下更改该用户的密码后应在/var/log/auth.log中看到的内容:
Dec 26 12:34:36 3.8.0-29-generic passwd[22667]: pam_unix(passwd:chauthtok): password changed for service1
如果您的用户使用Kerberos密码,则可以从pam中删除Kerberos密码pipe理,因为kerberos密码可以使用命令kpasswd