strange pam_cracklib behavior on password changes...
Marc - A. Dahlhaus
mad at wol.de
Sat Jul 18 15:22:38 UTC 2009
Hello,
i did some more tests and it looks like there is a bug in pam 1.1.0...
I reverted to 1.0.4 for this run (no changes to pam's config files):
[mad at darkstar ~]$ passwd
Ändern des Passworts für mad.
(aktuelles) UNIX-Passwort:
Geben Sie ein neues System Passwort ein:
Schlechtes Passwort: Es basiert auf einem Wörterbucheintrag
Geben Sie ein neues System Passwort ein:
Schlechtes Passwort: Es basiert auf einem Wörterbucheintrag
Geben Sie ein neues System Passwort ein:
Schlechtes Passwort: Es basiert auf einem Wörterbucheintrag
passwd: Fehler beim Ändern des Authentifizierungstoken
passwd: Passwort nicht geändert
on 1.1.0 i get:
[mad at darkstar ~]$ passwd
Ändern des Passworts für mad.
(aktuelles) UNIX-Passwort:
Geben Sie ein neues System Passwort ein:
Geben Sie das neue System Passwort erneut ein:
Schlechtes Passwort: Es basiert auf einem Wörterbucheintrag
Schlechtes Passwort: Es basiert auf einem Wörterbucheintrag
Schlechtes Passwort: Es basiert auf einem Wörterbucheintrag
passwd: Maximale Anzahl an Versuchen für den Dienst erreicht
passwd: Passwort nicht geändert
I don't know jet if the actual bug is in pam_cracklib or pam_unix...
How can i debug it further?
Marc
OT: Note that the line asking for the actual password doesn't respect
the authtok_type value, is this expected?
Marc - A. Dahlhaus [ Administration | Westermann GmbH ] schrieb:
> Hello,
>
> the actual pam/shadow combination does strange things,
> i don't know if it is a new problem or what package
> introdused this behavior...
>
> The problem is that on password change, the password
> isn't asked for again if cracklib has any problem with
> the prior entered one...
>
> pam version: 1.1.0
> shadow version: 4.1.4.1
> cracklib version: 2.8.13
>
> /etc/pam.d/passwd :
>
> password required pam_cracklib.so authtok_type=system difok=2 minlen=8
> dcredit=2 ocredit=2 retry=3
> password required pam_unix.so md5 shadow use_authtok nullok
>
> # passwd
> Changing password for user.
> (current) UNIX password:
> New system password:
> Retype new system password:
> BAD PASSWORD: it is WAY too short
> BAD PASSWORD: it is WAY too short
> BAD PASSWORD: it is WAY too short
> passwd: Have exhausted maximum number of retries for service
> passwd: password unchanged
>
>
> hope someone could shed some light into this changed behaviour...
>
>
> Marc
>
> _______________________________________________
> Pam-list mailing list
> Pam-list at redhat.com
> https://www.redhat.com/mailman/listinfo/pam-list
>
More information about the Pam-list
mailing list