Смена пароля каждые N дней и управление сложностью пароля

0

1

Здравствуйте.

Тут поступила немного нетривиальная задача: надо форсировать смену пароля для пользователя каждые N дней.

Также надо ввести минимальную длину пароля и, желательно, какой-либо критерий сложности.

Также требуется вести журнал паролей. Последнее — какая-то дебильная фигня с учётом того, что хранятся-то хеши. Надеюсь, отговорю заказчика.

В оффтопике на старой системе это администрировалось так: http://plasmon.rghost.ru/private/51007228/5dfdd643da7f57604e0df7872e742b0d/im....

Я знаю, что есть chage, который (как я понял) позволит установить форсирование смены пароля при залогинивании через tty. А что насчёт остальных требований? И что насчёт login manager? Надо, чтобы юзер менял пароль с использованием гуя, если срок истёк? Сейчас там lightdm.

Я очень редко задаю вопросы в плане администрирования, ведь есть гугл. Но по этому вопросу что-то ничего выискать не удалось (ну кроме chage).

Ссылка

←	Сервис для ханения изменяемой строки или динамического ip.

firewall openSuSe12.3

→

И логин через tty, и все остальные способы авторизации используют PAM, по идее работать должно всюду одинаково. Вопрос в том, есть ли в login manager поддержка смены пароля - это только гуглить или проверять

По сложности пароля «<your_linux_distr> PAM password complexity», для убунты/дебиана это будет где-то в районе /etc/pam.d/common-passwd

Хранить предыдущие пароли опять же, наверное как-то можно через PAM, тут уже не подскажу. Смысл есть - чтобы такие же не ставили

selivan ★★★
(16.12.13 19:06:42 MSK)

Проблема критериев сложности решена: http://packages.debian.org/ru/wheezy/amd64/libpam-passwdqc

Что насчёт журнала (почти уверен, что такого нет, ибо ущербно by design) и подходящего логин менеджера?

Там xfce и ставить тяжёлый логин менеджер не хочется.

Obey-Kun ★★★★★
(16.12.13 19:07:14 MSK) автор топика

Ответ на: комментарий от selivan 16.12.13 19:06:42 MSK

Спасибо!

Obey-Kun ★★★★★
(16.12.13 19:08:44 MSK) автор топика

Ссылка

Ответ на: комментарий от Obey-Kun 16.12.13 19:07:14 MSK

Погуглил - вроде умеют gdm и lightdm, второй полегче. Но надо проверять

Ну, чтобы design не был так страшен, можно хранить журнал хешей.

Если помогло - пометь топик как решённый, вдруг кому ещё надо

selivan ★★★
(16.12.13 19:41:37 MSK)

Также требуется вести журнал паролей. Последнее — какая-то дебильная фигня

Это такая фигня, которая не позволяет использовать повторно один из прошлых паролей, а вовсе не документирует его, как вы могли подумать.

К каким сервисам используются пароли, для которых требуют ввести политику?

~~zgen~~ ★★★★★
(16.12.13 21:36:41 MSK)

Ответ на: комментарий от selivan 16.12.13 19:41:37 MSK

Как опишу тут решение, так и помечу.

Obey-Kun ★★★★★
(16.12.13 23:38:52 MSK) автор топика

Ссылка

Ответ на: комментарий от zgen 16.12.13 21:36:41 MSK

автоматизированное рабочее место диспетчера

Obey-Kun ★★★★★
(16.12.13 23:39:09 MSK) автор топика

Ответ на: комментарий от Obey-Kun 16.12.13 23:39:09 MSK

У меня в организации есть AD (samba4), линуксовые тачки введены в домен, авторизация работает через pam_krb5.so, в качестве dm используются gdm или gdm3.
Требования к паролю устанавливаются через AD, все работает из коробки(password complexity, запоминание последних паролей, смена пароля пользователем по истечению срока действия).

menzoberronzan ★
(17.12.13 08:41:13 MSK)