我有许多配置了 SSSD 的 RHEL 服务器,它们没有轮换其 AD 计算机帐户密码,因此它们的计算机帐户被从 AD 域中删除。发生这种情况的原因是域控制器上执行了过时的帐户清理作业。
我发现如果你不设置这个值
ad_maximum_machine_account_password_age =
默认情况下,/etc/sssd.conf每 30 天轮换一次密码。我有一些系统可以正常工作,也有一些系统不能正常工作。出于测试目的,我将多个系统的值设置为 1 天
ad_maximum_machine_account_password_age = 1
我还将日志记录提高到 10,看看是否可以在日志文件中捕获有关计算机帐户密码轮换成功或失败的信息。
我还可以使用此命令手动轮换密码
adcli update
或者
adcli update --show-details --show-password --domain doaminXYZ
我很想放置一个 cron 作业,每两周运行一次该命令,但我不喜欢这个解决方案。我宁愿它正常工作。
我已经向红帽立案,但他们并没有提供太多帮助。我也在互联网上搜索了解决方案,但迄今为止一无所获。
答案1
我们在尝试修复 AD 连接的 RHEL 盒子上的相同问题时遇到了您的问题。我们在测试盒上将时间设置为一天,然后重新启动 SSSD 和 Realmd 守护进程。大约 5 分钟后,测试盒上的 pwdLastSet 属性已更新。
至于自动重置,似乎在 SSSD v1.13.4 中已删除,转而使用上述设置。看看这里: https://access.redhat.com/solutions/2420951
可以在此处找到上述链接中引用的 SSSD 发行说明: https://docs.pagure.org/SSSD.sssd/users/relnotes/notes_1_13_4.html
为了更改广告机密码,必须将设置添加到域部分下的 /etc/sssd/sssd.conf 文件中。
我希望这有帮助!