Смена паролей пользователей домена на отечественный ALT Linux Workstation K

Приветствую, авантюрист. Сегодня поговорим о смене паролей для доменных пользователей. Задача довольно важная. Любой мало-мальски опытный админ понимает, что надежность паролей и периодическая их замена — это необходимое условие для надежной защиты инфраструктуры. Но при работе с Альт Рабочая станция К появляется один неприятный нюанс.

KDE бумажник

В оболочке KDE есть встроенный инструмент для хранения паролей. В теории это действительно интересная штука. Все пароли, которые ты вводишь в браузерах, пароли от вайфая, пароли сетевых дисков и т. д. должны где-то храниться. И как раз-таки для этого и был создан KDE Бумажник. Ты можешь создавать сколько угодно бумажников, каждый из них будет шифроваться, и все твои данные будут довольно хорошо защищены.

Доступ к кошельку

По умолчанию создается один кошелек, и все данные хранятся в нем. Пароль доступа к этому кошельку задается как пароль пользователя при первом входе. То есть если пользователь user заходит в систему первый раз с паролем 12345, то создается дефолтный кошелек с паролем 12345. И пока пароли равны, все работает без каких-либо проблем прозрачно для пользователя. Но стоит тебе сменить пароль от пользователя, при открытии приложений, которым нужен бумажник, появится окно с просьбой ввести пароль от кошелька. Само собой, тебе ничего не мешает зайти в менеджер кошельков и поменять пароль на новый, чтобы они снова стали равны. Ну а теперь представь организацию 100+ машин, и у всех появилось подобное окно. И 90% пользователей понятия не имеют, что делать и какой, мать его, кошелек требует какой-то пароль. Для сисадмина это приличная головная боль. А как менять пароли? А как-то менять надо.

Варианты решения

В качестве вариантов решения рассматриваем следующие. В порядке их неадекватности. Самое неадекватное — это написать скрипт, который будет искать окно от бумажника, и как только оно появится, вписать туда старый пароль и нажать «ОК». Вариант — полнейший бред.

Второй вариант — отключить бумажник. Это делается очень просто, но тогда ты потеряешь возможность хранения паролей от любимых госуслуг и мессенджера «Макс». Придется вводить их ручками каждый раз. Тоже не очень вариант.

Третий вариант — это поставить пустой пароль. Вариант вполне адекватный, НО. Поставить пустой пароль можно исключительно через GUI ручками. Автоматизировать этот процесс и сделать это из терминала нельзя (я не нашел способа, если он существует, скиньте в комменты).

Четвертый вариант самый рабочий. Его суть в том, что мы не отключаем бумажник, но при этом деактивируем его. Это значит, что пароли будут храниться и читаться, но никаких паролей спрашиваться не будет, и при этом пароли, в теории, останутся защищены.

Для этого нам надо внести изменения в двух файлах /etc/pam.d/lightdm и /etc/pam.d/lightdm-autologin. В первый файл анм нужно либо доабвить строчки

-auth optional pam_kwallet5.so

и

-session optional pam_kwallet5.so auto_start

А в файл /etc/pam.d/lightdm-autologin

auth optional pam_kwallet5.so

и

session optional pam_kwallet5.so auto_start

Теперь сохранить, перезагрузиться и проверить. Должно всё быть в порядке. Далее можно написать мини-скриптик и кинуть на все ПК в организации для автоматизации процесса.

Итог

Казалось бы, тривиальная задача, и возникают такие проблемы. В сети нет информации о том, как этот момент обойти или грамотно решить. Теперь есть. Удачи, авантюрист.