19.7. パスワード変更ダイアログの有効化
Identity Management にユーザーが存在する場合はありますが、有効な Kerberos チケットがない場合もあります。つまり、IdM ドメインに対して認証できません。これは、新規ユーザーまたはドメインパスワードの有効期限が切れたユーザーの場合に可能です。Web UI でパスワード認証を有効にするのと同様に、クライアントへのパスワードベースの認証を有効にすることもできます。これにより、パスワード変更ダイアログボックスが表示され、期限切れのパスワードをリセットできるようになります。
パスワード変更ダイアログは、OpenSSH の challenge-response 認証を使用して有効にします。
challenge-response ダイアログは任意です。多くの環境では、必要な PAM モジュールを呼び出すことで、SSSD が期限切れのパスワードを処理できるため、必須ではありません。ただし、OpenSSH で challenge-response オプションを使用すると、直接 PAM でパスワードの変更を行い、完全な PAM 対話に対応することができます。
これはデフォルトでは有効になっていませんが、OpenSSH 設定を編集して有効にできます。
/etc/ssh/sshd_config
ファイルを開きます。ChallengeResponseAuthentication
をyes
に設定します。