Active Directory 用户无法更改密码

Active Directory 用户无法更改密码

我已经设置了一个 Ubuntu 16.04 系统来加入 AD 域,如下所示指令集在这里

我可以使用 AD 用户登录,并且一切正常,但是 AD 用户无法使用 或 更改密码passwdkpasswd我不确定我可能配置不正确。

这是我的配置文件:

== /etc/pam.d/通用密码 ==

password        sufficient                      pam_sss.so
password        required                        pam_cracklib.so retry=6 minlen=9 difok=1 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1 enforce_for_root
password        [success=1 default=ignore]      pam_unix.so obscure try_first_pass sha512
password        requisite                       pam_deny.so
password        required                        pam_permit.so
password        optional        pam_gnome_keyring.so

== /etc/sssd/sssd.conf ==

[sssd]
domains = my.domain.com
config_file_version = 2
services = nss, pam

[domain/my.domain.com]
ad_domain = my.domain.com
krb5_realm = my.domain.com
realmd_tags = manages-system joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%d/%u
access_provider = ad

auth_provider = ad
chpass_provider = ad
ldap_schema = ad
dyndns_update = true
dyndsn_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600
krb5_use_enterprise_principal = false

任何帮助都将不胜感激。我在谷歌上搜索了几个小时,但毫无收获……

编辑:
这是我在终端上看到的内容:

cypher@ubuVB2:~$ passwd
Current Password: 
New Password: 
Reenter new Password: 
Password change failed. Server message: Please make sure the password meets the complexity constraints.
New password: 
Retype new password: 
passwd: Authentication token manipulation error
passwd: password unchanged

我确信我尝试设置的密码符合复杂性要求,所以这很奇怪......

答案1

密码复杂度消息有点通用,它只是意味着 SSSD 尝试更改密码,但出于某种原因 AD DC 不允许它这样做。我们使用通用消息,因为密码复杂度是最常见的。如果您在域部分启用 debug_level=10,然后运行密码更改,/var/log/sssd 下的 krb5_child.log 文件会告诉您真正的原因。完成测试后,不要忘记重置 debug_level,因为 debug_level=10 非常冗长。

答案2

我知道这个问题已经很老了,但我想我应该解释一下为什么你会收到错误“密码更改失败。服务器消息:请确保密码符合复杂性限制。”

您的 Active Directory 服务器上的 GPO 安全设置很可能是默认的,或者可能是由 AD 管理员自定义的。

如果您查看“默认域策略”设置,您将看到类似以下内容: ad_default_domain_policy

您在尝试更改密码时触及了此策略中的一项限制。这就是为什么在等待一段时间后才会开始工作。

相关内容