尝试通过pam-mysql更改密码时出现令牌错误

我目前正在准备一台虚拟主机服务的机器，并决定使用MySQL来存储我们所有的用户（因为我们的其他服务已经使用了它）。 为此，我使用libnss-mysql和pam-mysql 。 但是，即使大多数设置正在运行，但在尝试使用passwd更改用户密码时遇到问题。

目前，可以创build一个用户（ INSERT INTO ）并使用su以该用户身份login。 机器不提示input密码，直接访问用户的shell。 但是，一旦我以这个用户身份login， passwd结束于：

 $ passwd myuser passwd: Authentication token manipulation error passwd: password unchanged 

根据MySQL日志，在调用passwd时会进行查询，因此与MySQL的连接不成问题。 此外，当我尝试与一个未知的用户调用passwd ，我得到一个合适的passwd: user 'doesnotexist' does not exist 。 passwd确实find了一个用户，但是不能修改它的信息。 auth.log日志文件说：

 pam_unix(passwd:chauthtok): user "myuser" does not exist in /etc/passwd pam_mysql - option verbose is set to "1" pam_mysql - pam_sm_chauthtok() called. pam_mysql - pam_mysql_open_db() called. pam_mysql - pam_mysql_open_db() returning 0. pam_mysql - pam_sm_chauthtok() returning 0. pam_mysql - pam_mysql_release_ctx() called. pam_mysql - pam_mysql_destroy_ctx() called. pam_mysql - pam_mysql_close_db() called. 

当调用passwd -Sa来获得所有帐户的状态时， myuser帐户确实出现。 此外， getent passwd和getent shadow都会为myuser返回有效的条目。

• 域名在新旧主机服务之间来回切换
• 将几个桌面从/ etc / passwd移到LDAP
• 在升级到Ubuntu 14.04.3 LTS后，MOTD总是说可以更新0个新软件包
• 在操作系统版本<Windows 2012上使用组pipe理服务帐户
• AD用户帐户创build – 相同的用户名

 $ passwd -Sa ... messagebus L 06/28/2014 0 99999 7 -1 mysql L 06/28/2014 0 99999 7 -1 myuser P 01/01/1970 0 99999 7 -1 $ getent passwd myuser myuser:x:5001:5000:First Last:/home/members/myuser:/bin/bash $ getent shadow myuser myuser:$6$...:0:0:99999:7:::0 

但是，在请求关于myuser老化信息时：

 $ chage -l myuser chage: user 'myuser' does not exist in /etc/passwd 

总而言之 ：

• sufind用户，并在所有情况下执行无密码login（如果我是root用户，则会提示input密码并获取令牌错误）。
• chage找不到用户; 它似乎search/etc/passwd而不是数据库。
• passwd确实find了用户，但在编辑它时却返回一个令牌错误。

以下是一些configuration示例：

将/etc/pam.d/common-account

 account sufficient pam_unix.so account required pam_mysql.so config_file=/etc/pam-mysql.conf 

将/etc/pam.d/common-auth

 auth sufficient pam_unix.so nullok_secure auth required pam_mysql.so config_file=/etc/pam-mysql.conf 

/etc/pam.d/common-session

 session sufficient pam_unix.so session required pwam_mysql.so config_file=/etc/pam-mysql.conf 

/etc/pam.d/common-passwd

 password sufficient pam_unix.so obscure sha512 password required pam_mysql.so config_file=/etc/pam-mysql.conf 

/etc/libnss-mysql.cfg

 getpwnam SELECT username,'x',(5000+id),5000,CONCAT(firstname, lastname),CONCAT('/home/members/', username),'/bin/bash' \ FROM users \ WHERE username='%1$s' \ LIMIT 1 getpwuid SELECT username,'x',(5000+id),5000,CONCAT(firstname, lastname),CONCAT('/home/members/', username),'/bin/bash' \ FROM users \ WHERE (5000+id)='%1$u' \ LIMIT 1 getspnam SELECT username,password,0,'0','99999','7','-1','-1','0' \ FROM users \ WHERE username='%1$s' \ LIMIT 1 getpwent SELECT username,'x',(5000+id),5000,CONCAT(firstname, lastname),CONCAT('/home/members/', username),'/bin/bash' \ FROM users getspent SELECT username,password,0,'0','99999','7','-1','-1','0' \ FROM users getgrnam SELECT '%1$s','members',5000 getgrgid SELECT name,password,'%1$u' getgrent SELECT 'members','members',5000 memsbygid SELECT username \ FROM users gidsbymem SELECT 5000 

• 我的用户ID在数据库中从1开始，但必须从5000开始（5000 + id）。
• /bin/bash给大家。
• myuser的$HOME目录是/home/members/myuser 。
• 每个人都属于members组，其GID是5000。

/etc/pam-mysql.conf

 users.host = localhost users.database = mydatabase users.db_user = root users.db_passwd = root_password users.table = users users.user_column = username users.password_column = password users.password_crypt = 1 

/etc/nsswitch.conf中

 passwd: compat mysql group: compat shadow: compat mysql 

我试过的：

• 在myuser的数据库中设置密码（SHA512哈希， $6$... ）。
• 先删除密码（ passwd -d ）：告诉我myuser在/etc/passwd找不到。 如果我尝试locking帐户或强制其密码过期，也会发生同样的情况。
• 从root帐户调用passwd ，没有任何更改。
• 从机器上的terminallogging（而不是su ）：我得到身份validation令牌操作错误，并返回到login提示。 当我尝试连接到SSH（加上逻辑上的密码过期警告）时也是如此。

对我来说，似乎用户pipe理部分（帐户/会话？）正确链接到MySQL，但密码pipe理部分似乎部分依赖于/etc/passwd 。 我错过了configuration中的东西吗？

 facility required pam_unix.so [...] facility sufficient pam_mysql.so [...] 

 facility sufficient pam_mysql.so [...] facility required pam_unix.so [...]