Пользователи Active Directory не могут изменить пароли [SSSD]

Question

Пользователи Active Directory не могут изменить пароли [SSSD]

Я настроил систему Ubuntu 16.04 для присоединения к домену AD, следуя инструкциям, приведенным здесь.

Я могу войти с пользователями AD, и там все работает правильно, однако пользователи AD не могут изменить свои пароли либо с passwd или же kpasswd, Я не уверен, что я не правильно настроил.

Вот мои файлы конфигурации:

== /etc/pam.d/common-password ==

password        sufficient                      pam_sss.so
password        required                        pam_cracklib.so retry=6 minlen=9 difok=1 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
password        [success=1 default=ignore]      pam_unix.so obscure try_first_pass sha512
password        requisite                       pam_deny.so
password        required                        pam_permit.so
password        optional        pam_gnome_keyring.so

== /etc/sssd/sssd.conf ==

[sssd]
domains = my.domain.com
config_file_version = 2
services = nss, pam

[domain/my.domain.com]
ad_domain = my.domain.com
krb5_realm = my.domain.com
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
ldap_schema = ad
dyndns_update = true
dyndsn_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600
krb5_use_enterprise_principal = false

Любая помощь будет принята с благодарностью. Я несколько часов гуглил не без удачи...

РЕДАКТИРОВАТЬ:
Вот что я вижу в терминале:

cypher@ubuVB2:~$ passwd
Current Password: 
New Password: 
Reenter new Password: 
Password change failed. Server message: Please make sure the password meets the complexity constraints.
New password: 
Retype new password: 
passwd: Authentication token manipulation error
passwd: password unchanged

Я уверен, что пароль, который я пытаюсь установить, соответствует требованиям сложности, так что это довольно странно...

2

password active-directory sssd

Источник

cypher 29 ноя '17 в 19:02

1 ответ

Другие вопросы по тегам password active-directory sssd

jhrozek 20 дек '17 в 11:47 2017-12-20 11:47 · Answer 1 · 2017-12-20 11:47

Сообщение о сложности пароля является немного общим, оно просто означает, что SSSD попытался изменить пароль, но по той или иной причине AD DC не допустил этого. Мы используем общее сообщение, потому что сложность пароля является наиболее распространенной. Если вы включите debug_level=10 в разделе домена, а затем запустите смену пароля, файл krb5_child.log в /var/log/sssd сообщит вам реальную причину. Не забудьте сбросить debug_level обратно после завершения теста, потому что debug_level=10 довольно многословен.

Stephen Flynn 24 ноя '19 в 19:10 2019-11-24 19:10 · Answer 2 · 2019-11-24 19:10

Я знаю, что этот вопрос старый, но я решил предложить объяснение, почему вы получили сообщение об ошибке "Не удалось изменить пароль. Сообщение сервера: убедитесь, что пароль соответствует ограничениям сложности".

Параметры безопасности объекта групповой политики на сервере Active Directory, скорее всего, были по умолчанию или, возможно, настроены администратором AD.

Если вы посмотрите в настройках "Политика домена по умолчанию", вы увидите что-то вроде:ad_default_domain_policy

Вы столкнулись с одним из ограничений в этой политике, пытаясь изменить свой пароль. Именно поэтому начинает работать после периода ожидания.