pam_pwd

このロールは、パスワードのポリシーを実装するために PAM を設定し、最小パスワード長、複雑さ、パスワード履歴の保持などの要件を満たします。以下のシステムをサポートしています：

• Fedora >= 35
• RHEL 7
• RHEL 8
• RHEL 9 ベータ
• CentOS 7
• CentOS Stream 8
• CentOS Stream 9

このロールは、以下の Ansible のバージョンでテストされています：

• ansible-core 2.11
• ansible-core 2.12

このロールを使用するには、以下に説明するロール変数を指定する必要があります。

要件

なし。

ロール変数

ここでは、ロールに対するすべての入力変数（defaults/main.yml に定義されている変数）の説明を示します。次のコードブロックは、必要な入力変数とそのデフォルト値を示しています。これらは defaults/main.yml に指定されています。

pam_pwd_minlen: "12" # パスワードの最小受け入れサイズを定義します。
pam_pwd_history: "5" # 使用できない過去のパスワードの数を定義します。
pam_pwd_dcredit: "-1" # パスワードに必要な数字を含むための最小クレジットを定義します。
pam_pwd_ucredit: "-1" # パスワードに大文字を含むための最小クレジットを定義します。
pam_pwd_lcredit: "-1" # パスワードに小文字を含むための最小クレジットを定義します。
pam_pwd_ocredit: "-1" # パスワードに他の文字を含むための最小クレジットを定義します。
pam_pwd_minclass: "4" # 新しいパスワードに必要な文字クラスの最小数を定義します。
pam_pwd_enforce_root: "enforce_for_root" # （""|"enforce_for_root）ユーザー root に対してパスワードの複雑さを強制するかどうかを定義します。
pam_pwd_policy_name: "password-policy" # RHEL 8 のみ。カスタム authselect プロファイルの名前を定義します。
pam_pwd_deny: "5" # アカウントがロックされる前の失敗したログイン試行の数を設定します。
pam_pwd_unlock_time: "300" # アカウントが再度ロック解除されるまでの時間（秒）を設定します。

これらのデフォルト値が要件に合っている場合は、そのまま使用することができます。また、vars/main.yml、group_vars/、host_vars/、またはあなたのプレイブックのような場所でそれらの一部またはすべてを上書きすることもできます。

プレイブックの例

以下のコードブロックは、このロールを実行するための最もシンプルなプレイブックを示しています：

- name: pam パスワードの管理
  hosts: all
  roles:
    - linux-system-roles.pam_pwd

より多くの例は、examples/ ディレクトリで見つけることができます。

ライセンス

MIT。

著者情報

著者：Joerg Kastning
連絡先：joerg.kastning@uni-bielefeld.de