On 6/25/21 3:53 PM, Pierre Blanchet wrote:
Il est déconseillé d'utiliser pam_unix pour stocker l'historique des mots de passe (car il n'utilise que du MD5), il vaut mieux passer par pam_pwhistory (qui utiliser SHA512)
Les détails pour le mettre en place: https://askubuntu.com/a/1310313 https://askubuntu.com/a/1310313
Pierre.
merci Pierre
cette solution me dit bien que le mot de passe à déjà été utilisé, mais ça l'accepte aussi.
je ne parviens pas à faire en sorte que ça refuse le mot de passe si il a déjà été utilisé. le fichier /etc/security/opaswd existe bien
voici mon /etc/pam.d/common-password (mais au moins ça ne retourne pas d'erreur "Authentication token manipulation error"):
# here are the per-package modules (the "Primary" block)
password required pam_pwhistory.so remember=7 password [success=1 default=ignore] pam_unix.so obscure sha512 use_authtok
#password [success=1 default=ignore] pam_unix.so obscure sha512 # here's the fallback if no module succeeds
password requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around
password required pam_permit.so
# and here are more per-package modules (the "Additional" block) # end of pam-auth-update config