Пользователи Active Directory не могут изменять пароли [SSSD]
Я настроил систему Ubuntu 16.04 для присоединения к домену AD, следуя инструкциям , установленным здесь .
Я могу войти в систему с пользователями AD, и там все работает правильно, однако пользователи AD не могут изменить свои пароли с помощью passwd или kpasswd . Я не уверен, что я неправильно настроил.
Вот мои файлы конфигурации:
== /etc/pam.d/common-password ==
password sufficient pam_sss.so
password required pam_cracklib.so retry=6 minlen=9 difok=1 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
password [success=1 default=ignore] pam_unix.so obscure try_first_pass sha512
password requisite pam_deny.so
password required pam_permit.so
password optional pam_gnome_keyring.so
== /etc/sssd/sssd.conf ==
[sssd]
domains = my.domain.com
config_file_version = 2
services = nss, pam
[domain/my.domain.com]
ad_domain = my.domain.com
krb5_realm = my.domain.com
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%d/%u
access_provider = ad
auth_provider = ad
chpass_provider = ad
ldap_schema = ad
dyndns_update = true
dyndsn_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600
krb5_use_enterprise_principal = false
Любая помощь будет принята с благодарностью . Я гуглил несколько часов, но безуспешно ...
РЕДАКТИРОВАТЬ:
Вот что я вижу в терминале:
cypher@ubuVB2:~$ passwd
Current Password:
New Password:
Reenter new Password:
Password change failed. Server message: Please make sure the password meets the complexity constraints.
New password:
Retype new password:
passwd: Authentication token manipulation error
passwd: password unchanged
Я уверен, что пароль я ' m, который пытается установить, отвечает требованиям сложности, так что это довольно странно ...
2 ответа
Сообщение о сложности пароля является немного общим, оно просто означает, что SSSD попытался изменить пароль, но по той или иной причине AD DC не допустил его. Мы используем общее сообщение, потому что сложность пароля является наиболее распространенной. Если вы включите debug_level = 10 в разделе домена, а затем запустите смену пароля, файл krb5_child.log в / var / log / sssd сообщит вам реальную причину. Не забудьте сбросить debug_level обратно после завершения теста, потому что debug_level = 10 довольно многословный.
Я знаю, что этот вопрос устарел, но я решил предложить объяснение, почему вы получили сообщение об ошибке «Смена пароля не удалась. Сообщение сервера: Пожалуйста, убедитесь, что пароль соответствует ограничениям сложности ."
Настройки безопасности GPO на вашем сервере Active Directory, скорее всего, были установлены по умолчанию или, возможно, настроены администратором AD.
Если вы заглянете в настройки «Политика домена по умолчанию», вы увидите что-то вроде: ad_default_domain_policy
Вы нарушили одно из ограничений этой политики при попытке изменить свой пароль. Вот почему он начинает работать после ожидания периода времени.