Existe uma máquina SLES 11. Os usuários efetuam login via SSH e pubkey (misto, alguns usuários usam senha, outros usam chave ssh)
O sshd_config possui:
UsePAM yes
PasswordAuthentication yes
PubkeyAuthentication yes
O problema: se a senha expirar para um usuário que usa o login pubkey, o usuário será solicitado a alterar a senha.
A pergunta: como podemos definir a configuração do PAM ou sshd para permitir que os usuários efetuem login se eles têm uma chave SSH válida e sua senha expirou? - Sem aparecer "mude sua senha".
ATUALIZAÇÃO # 1: A solução não pode ser: "UsePAM no"
SERVER:~ # cat /etc/pam.d/sshd
#%PAM-1.0
auth requisite pam_nologin.so
auth include common-auth
account requisite pam_nologin.so
account include common-account
password include common-password
session required pam_loginuid.so
session include common-session
SERVER:~ #
ATUALIZAÇÃO # 2: A solução não pode ser: defina a senha do usuário para nunca expirar
ATUALIZAÇÃO # 3:
SERVER:/etc/pam.d # cat common-account
#%PAM-1.0
...
account required pam_unix2.so
account required pam_tally.so
SERVER:/etc/pam.d #
ForcedPasswdChange No
isto é para SSH1
ForcedPasswdChange No
não funcionaria após o vencimento. você está procurando uma solução que permita que o usuário expirado efetue login
pam_unix.so
dasession
seção de/etc/pam.d/sshd
(e substituindo-a porpam_lastlog.so
se não estiver lá. Não tenho certeza sepam_unix.so/session
é quem está fazendo isso ou não, mas parece o lugar certo.