strange pam_cracklib behavior on password changes...

Marc - A. Dahlhaus mad at wol.de
Sat Jul 18 15:22:38 UTC 2009 

Hello,

i did some more tests and it looks like there is a bug in pam 1.1.0...

I reverted to 1.0.4 for this run (no changes to pam's config files):

[mad at darkstar ~]$ passwd
Ändern des Passworts für mad.
(aktuelles) UNIX-Passwort:
Geben Sie ein neues System Passwort ein:
Schlechtes Passwort: Es basiert auf einem Wörterbucheintrag
Geben Sie ein neues System Passwort ein:
Schlechtes Passwort: Es basiert auf einem Wörterbucheintrag
Geben Sie ein neues System Passwort ein:
Schlechtes Passwort: Es basiert auf einem Wörterbucheintrag
passwd: Fehler beim Ändern des Authentifizierungstoken
passwd: Passwort nicht geändert

on 1.1.0 i get:

[mad at darkstar ~]$ passwd
Ändern des Passworts für mad.
(aktuelles) UNIX-Passwort:
Geben Sie ein neues System Passwort ein:
Geben Sie das neue System Passwort erneut ein:
Schlechtes Passwort: Es basiert auf einem Wörterbucheintrag
Schlechtes Passwort: Es basiert auf einem Wörterbucheintrag
Schlechtes Passwort: Es basiert auf einem Wörterbucheintrag
passwd: Maximale Anzahl an Versuchen für den Dienst erreicht
passwd: Passwort nicht geändert

I don't know jet if the actual bug is in pam_cracklib or pam_unix...

How can i debug it further?


Marc

OT: Note that the line asking for the actual password doesn't respect 
the authtok_type value, is this expected?

Marc - A. Dahlhaus [ Administration | Westermann GmbH ] schrieb:
> Hello,
>
> the actual pam/shadow combination does strange things,
> i don't know if it is a new problem or what package
> introdused this behavior...
>
> The problem is that on password change, the password
> isn't asked for again if cracklib has any problem with
> the prior entered one...
>
> pam version: 1.1.0
> shadow version: 4.1.4.1
> cracklib version: 2.8.13
>
> /etc/pam.d/passwd :
>
> password required pam_cracklib.so authtok_type=system  difok=2 minlen=8
> dcredit=2 ocredit=2 retry=3
> password required pam_unix.so md5 shadow use_authtok nullok
>
> # passwd
> Changing password for user.
> (current) UNIX password: 
> New system password: 
> Retype new system password: 
> BAD PASSWORD: it is WAY too short
> BAD PASSWORD: it is WAY too short
> BAD PASSWORD: it is WAY too short
> passwd: Have exhausted maximum number of retries for service
> passwd: password unchanged
>
>
> hope someone could shed some light into this changed behaviour...
>
>
> Marc
>
> _______________________________________________
> Pam-list mailing list
> Pam-list at redhat.com
> https://www.redhat.com/mailman/listinfo/pam-list
>

More information about the Pam-list mailing list