如果 PAM 配置正确,则可以采用以下两种方法来更改 Kerberos 口令。
使用 passwd 命令。配置 Kerberos 服务后,passwd 命令还会自动提示您输入新的 Kerberos 口令。
通过使用 passwd,可以同时设置 UNIX 口令和 Kerberos 口令。但是,使用 passwd 只能更改一个口令,另一个口令将保持不变。
使用 kpasswd 命令。kpasswd 只能更改 Kerberos 口令。如果要更改 UNIX 口令,则必须使用 passwd。
kpasswd 主要用于更改不是有效 UNIX 用户的 Kerberos 主体的口令。例如,jdoe/admin 是 Kerberos 主体,但不是实际的 UNIX 用户,因此必须使用 kpasswd 来更改口令。
更改口令后,该口令必须在整个网络中传播。传播所需的时间可能为几分钟到一小时或更多,具体取决于 Kerberos 网络的规模。如果需要在更改口令后立即获取新的 Kerberos 票证,请先尝试新口令。如果新口令无效,请使用旧口令重试。
Kerberos 策略用于定义口令的条件。可以为每个用户设置一个策略,也可以应用缺省策略。有关策略的信息,请参见管理 Kerberos 策略。有关可为 Kerberos 口令设置的条件的示例,请参见Example 5–9。口令字符分类包括小写字母、大写字母、数字、标点符号以及其他所有字符。