13.2.17. ドメインオプション: パスワードの有効期限の設定
パスワードポリシーは通常、有効期限を設定し、その後パスワードを交換する必要があります。パスワードの有効期限ポリシーは、アイデンティティープロバイダーを介してサーバー側で評価され、PAM サービスを介して SSSD で警告を処理し、表示することができます。
パスワードの有効期限の警告を表示する方法は 2 つあります。
pam_pwd_expiration_warning
パラメーターは、パスワードの有効期限の前に警告を表示する前に、すべてのドメインのグローバルデフォルト設定を定義します。これは PAM サービスに設定されます。pwd_expiration_warning
パラメーターは、パスワードの有効期限の前に警告を表示する前に、ドメインごとの設定を定義します。ドメインレベルのパスワード有効期限の警告を使用する場合は、認証プロバイダー(auth_provider
)もドメインに設定する必要があります。
以下に例を示します。
[sssd] services = nss,pam ... [pam] pam_pwd_expiration_warning = 3 ... [domain/EXAMPLE] id_provider = ipa auth_provider = ipa pwd_expiration_warning = 7
警告を表示するには、パスワードの有効期限の警告をサーバーから SSSD に送信する必要があります。サーバーからパスワード警告が送信されていない場合は、パスワードの有効期限が SSSD で設定された期間内にある場合でも、SSSD を介してメッセージは表示されません。
パスワード有効期限の警告が SSSD で設定されていない場合や、
0
に設定されていない場合は、SSSD パスワードの警告フィルターが適用されず、サーバー側のパスワード警告が表示されます。
注記
パスワード警告がサーバーから送信される限り、PAM またはドメインパスワードの有効期限は、バックエンドアイデンティティープロバイダーのパスワード警告設定を上書きします。たとえば、警告期間が 28 日に設定され、SSSD の PAM サービスが 7 日に設定されているバックエンドアイデンティティープロバイダーについて考えてみましょう。プロバイダーは 28 日以降の SSSD に警告を送信しますが、SSSD 設定で指定したパスワードの有効期限に従い、警告が 7 日までローカルで表示されません。
パスワード以外の認証についてのパスワードの有効期限の警告
デフォルトでは、パスワードの有効期限は、ユーザーが認証中にパスワードを入力する場合にのみ検証されます。ただし、たとえば SSH ログイン時など、パスワード以外の認証方法が使用されている場合でも、有効期限チェックを実行し、警告を表示するように SSSD を設定できます。
パスワード以外の認証方法でパスワード有効期限の警告を有効にするには、以下を実行します。
sssd.conf
ファイルでaccess_provider
パラメーターがldap
に設定されていることを確認します。sssd.conf
でldap_pwd_policy
パラメーターが設定されていることを確認してください。多くの場合、適切な値はshadow
です。sssd.conf
のldap_access_order
パラメーターに、以下のpwd_expire_*
の値のいずれかを追加します。パスワードが期限切れになる場合は、これらの値の 1 つが有効期限の警告のみを表示します。また、以下を追加しています。pwd_expire_policy_reject
は、パスワードの有効期限が切れている場合にユーザーがログインできないようにします。pwd_expire_policy_warn
を使用すると、パスワードが期限切れであってもユーザーはログインできます。pwd_expire_policy_renew
により、ユーザーが期限切れのパスワードでログインしようとすると、すぐにパスワードを変更するように求められます。
以下に例を示します。[domain/EXAMPLE] access_provider = ldap ldap_pwd_policy = shadow ldap_access_order = pwd_expire_policy_warn
ldap_access_order
の使用方法とその値の詳細は、sssd-ldap(5) の man ページを参照してください。