Здравствуйте. Не могу настроить LDAP ppolicy в связке с PAM.

Аутентификация работает. Смена пароля командой passwd работает. Но когда наступает
время выдачи сообщения, что пароль устареет через Х секунд, пользователь никак это не видит. Т.е. после аутентификации на линукс сервер ему выдается shell,но ни РАМ ни кто другой не сообщает, что пришло время сменить пароль. В результате через определенное время его просто перестаёт пускать на сервера и сменить пароль он уже не может.

По моей логике предупреждать должен PAM. В конфиге pam_ldap.conf и libnss-ldap.conf  пробовал раскоментировать строку
pam_lookup_policy yes
не помогло

в common-auth прописано :

auth    [success=2 default=ignore]      pam_unix.so nullok_secure
auth    [success=1 default=ignore]      pam_ldap.so use_first_pass
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so

в common-account:
        account [success=1 default=ignore] pam_unix.so
        account required pam_ldap.so
        account required pam_permit.so

В nsswitch.conf

passwd: compat ldasp
group:    compat ldap
shadow:    files
gshadow: files

Если дать запрос в LDAP выдаёт:
root@ldap# ldapwhoami -D uid=test03,ou=People,dc=pc,dc=su -W -e ppolicy
Enter LDAP Password:
ldap_bind: Success (0) (Password expired, 1 grace logins remain)
dn:uid=test03,ou=People,dc=pc,dc=su

Как выдать что-то подобное пользователю при логине по ssh? Или эта это как-то по другому решается?

• LDAP и PAM,eRIC, 13:24 , 25-Сен-15
  • LDAP и PAM,Николай, 13:30 , 25-Сен-15
    • LDAP и PAM,eRIC, 13:48 , 25-Сен-15
      • LDAP и PAM,Николай, 14:44 , 25-Сен-15
        • LDAP и PAM,eRIC, 14:53 , 25-Сен-15

> По моей логике предупреждать должен PAM. В конфиге pam_ldap.conf и libnss-ldap.conf  
> пробовал раскоментировать строку
> pam_lookup_policy yes

да, его нужно включить

> в common-auth прописано

насколько я знаю все нужно делать в /etc/pam.d/system-auth и UsePAM yes в sshd

#uname -a
в студию

> насколько я знаю все нужно делать в /etc/pam.d/system-auth и UsePAM yes в
> sshd

Спасибо что откликнулись. sshd использует PAM, как я понимаю, ведь при аутентификации он пароль из LDAP берет.

> #uname -a
> в студию

root@ldp1# uname -a
Linux ldp1 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt9-3~deb8u1 (2015-04-24) x86_64 GNU/Linux

> Спасибо что откликнулись. sshd использует PAM, как я понимаю, ведь при аутентификации
> он пароль из LDAP берет.

да он берет но всю нужную информацию, см. вниз чтобы понять

> root@ldp1# uname -a
> Linux ldp1 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt9-3~deb8u1 (2015-04-24) x86_64 GNU/Linux

теперь понятно, у вас Debian и все настройки PAM paзнесены на разные файлы common-account, common-auth, common-password, common-session. нужно в каждом файле добавить pam_ldap.so (на отдельной строке, т.е где встречается pam_unix, после него - быстрый способ)

https://wiki.debian.org/LDAP/PAM

>> Спасибо что откликнулись. sshd использует PAM, как я понимаю, ведь при аутентификации
>> он пароль из LDAP берет.
> да он берет но всю нужную информацию, см. вниз чтобы понять
>> root@ldp1# uname -a
>> Linux ldp1 3.16.0-4-amd64 #1 SMP Debian 3.16.7-ckt9-3~deb8u1 (2015-04-24) x86_64 GNU/Linux
> теперь понятно, у вас Debian и все настройки PAM paзнесены на разные
> файлы common-account, common-auth, common-password, common-session. нужно в каждом файле
> добавить pam_ldap.so (на отдельной строке, т.е где встречается pam_unix, после него
> - быстрый способ)
> https://wiki.debian.org/LDAP/PAM

Спасибо за ссылку! Вы знаете, установил вместо libpam-ldap libpam-ldapd и заработало!
В common-* он автоматом прописывает при установке пакета, там ничего не трогал, всё было.

Еще раз спасибо и дай вам бог здоровья ! :)

> Спасибо за ссылку! Вы знаете, установил вместо libpam-ldap libpam-ldapd и заработало!
> В common-* он автоматом прописывает при установке пакета, там ничего не трогал,
> всё было.
> Еще раз спасибо и дай вам бог здоровья ! :)

и вам не хворать, жить до поживать :)