主页 / computer / 问题 / 1459072
Accepted
larsch
Asked: 2019-07-13 04:12:49 +0800 CST

密码过期时的身份验证令牌操作错误(passwd --expire)

  • 772

在全新的 Arch Linux 安装中,我试图要求用户在首次登录时更改密码。我使用 使密码过期passwd --expire username,但用户无法再登录。显示此消息:

You are required to change your password immediately (administrator enforced)

Authentication token manipulation error

几秒钟后,它返回到登录提示。

是什么原因导致此错误,是否可以修复以允许用户更改密码?

无论我设置密码还是删除密码,我都会得到相同的行为passwd --delete

arch-linux login

1 个回答

  1. Best Answer

    我对这种行为很好奇,所以我在我的机器上测试了它。

    再生产

    1. 我创建一个新用户

      # useradd -m -s /bin/bash test

    2. 我为它创建了一个虚拟密码

      # passwd test
Geben Sie ein neues Passwort ein: 
Geben Sie das neue Passwort erneut ein:

    3. 测试我到目前为止在另一个终端所做的事情

      $ su - test
Passwort:
$ # I'm in.
$ exit # I'm out.

    4. 回到我的根终端,我尝试做你所做的......

      # passwd --expire test
passwd: Passwortablauf-Informationen geändert.

    5. 回到我的普通终端,我尝试连接新用户。

      $ su - test
Passwort: 
You are required to change your password immediately (administrator enforced)
su: Fehler beim Ändern des Authentifizierungstoken

      有趣的是,我和你一样。

    去壳

    所以我很好奇所以我查看了手册

    # LC_ALL=en_US.UTF-8 man passwd  #Comment# LC_ALL is needed because otherwise, I get the manual in german.

    奇怪的是它说:

    -e, --expire
       Immediately expire an account's password. This in effect can force a user to change their password at the
       user's next login.

    我得出的结论是,所描述的行为不起作用是很奇怪的……

    据我所知pam.d,负责我在日志中查找它的登录。

    # journalctl -g pam -xe

    在日志中,我看到了以下内容。

    Jul 28 xx:xx:xx funilrys su[xxxxx]: pam_unix(su-l:auth): authentication failure; logname= uid=1000 euid=0 tty=pts/4 ruser=funilrys rhost=  user=test
Jul 28 xx:xx:xx funilrys su[xxxxx]: pam_unix(su-l:account): expired password for user test (root enforced)
Jul 28 xx:xx:xx funilrys su[xxxxx]: pam_warn(su-l:chauthtok): function=[pam_sm_chauthtok] flags=0x4020 service=[su-l] terminal=[pts/4] user=[test] ruser=[funilrys] rhost=[<unknown>]

    注意:当我登录时,使用susu-l是服务。

    这意味着它pam.d可以正常工作,但它不处理密码更改。

    但我不相信,所以我用 SSH 进行了测试(我将 SSH 配置留给你)并且它起作用了。

    $ ssh -p xxxxx [email protected]
Passwort: 
You are required to change your password immediately (administrator enforced)
Ändern des Passworts für test.
Current password: 
Geben Sie ein neues Passwort ein: 
Geben Sie das neue Passwort erneut ein: 
$

    我问自己,区别在哪里?

    我发现该/etc/pam.d/sshd文件有这一行

    password  include   system-remote-login

    因此,由于我的服务是su-l我将该行添加到/etc/pam.d/su-l

    然后再试一次。

    $ su - test
Passwort: 
You are required to change your password immediately (administrator enforced)
Ändern des Passworts für test.
Current password: 
Geben Sie ein neues Passwort ein: 
Geben Sie das neue Passwort erneut ein:

    它奏效了!

    结论

    如果您将以下行添加到/etc/pam.d/login/etc/pam.d/su-l或其他配置,具体取决于您使用的服务。用户将能够在下次登录时更改密码。

    password  include   system-remote-login

    推荐(编辑 1)

    在我的分析中,我经历了但在深入研究之后,我不得不承认即使system-remote-login有效,我们也应该避免它,因为它实际上是为 SSH 考虑的。

    因此,我建议遇到此问题的任何人将以下行(而不是)添加到或其他配置中/etc/pam.d/login/etc/pam.d/su-l具体取决于您使用的服务。

    password  include   system-local-login
    • 1

相关问题