当本地密码过期时，Kerberos身份validation失败服务器 Gind.cn

我使用本地帐户（Linux）的pam_krb5进行AD密码validation。事情运作良好，用户可以用AD和本地密码进行身份validation。

我有一个问题，但当本地密码过期Kerberos身份validation失败，并提示用户更改其本地密码。问题是，大多数用户不记得他们的本地密码，到目前为止我的解决方法是暂时禁用本地密码更改实施。

有没有办法让pam_krb5忽略过期的本地密码，或者至lessconfigurationPAM来优先考虑本地的Kerberos密码？

我的研究使我相信这与common-auth有关，我在下面提供了这个：

wbinfo -u不显示AD用户（为空）
Kerberos票期满会发生什么？
win2k dc上的Kerberos服务在磁盘故障后不会启动
使用首选用户名，但对Kerberos主体进行身份validation
通过负载平衡器的Kerberos身份validation

auth required pam_env.so auth sufficient pam_unix2.so auth requisite pam_succeed_if.so user ingroup access_www auth sufficient pam_krb5.so use_first_pass auth required pam_deny.so

增加Kerberos票证的MaxTokenSize的影响
有没有一个Kerberostesting工具？
Windows AD和Linux LDAP服务器之间的统一authentication
“net ads join”在puppet exec中失败，但直接从命令行运行OK
为什么mount命令中不需要'-o sec = krb5p'？

将pam_krb5放在pam_unix2之前（并在后面的条目中保留use_first_pass ）。