我有使用 activeDirectory 域帐户登录的 Ubuntu 22.04 客户端。(加入域)
密码策略已启用,每 2 个月强制更换一次密码。可以在多个平台上更改密码(Owa、MS Teams、TerminalServer)。
如果用户未在 Ubuntu 中更改密码,则密码将不会同步到 Ubuntu 客户端,并且只有旧密码才有效登录。
在我的 sssd.conf 中我有
krb5_store_password_if_offline = True
cache_credentials = True
因为客户端用于家庭办公室,所以需要在连接到 vpn 之前登录。
这是个问题吗?我可以强制同步密码吗?
答案1
客户端 (SSSD) 最终将在 VPN 上同步密码。如果您不想等待,SSSD 重启 ( sudo systemctl restart sssd.service) 应该会触发同步,但这需要提升权限和技术技能,因此不太现实。
只需让 SSSD 执行其预定的同步,它就会自行解决。下次他们登录操作系统时,它应该会要求输入新密码。
无论如何,每 2 个月强制设置一次新密码绝对是无稽之谈,弊大于利。它迫使用户在便签等上记下密码,因此它将使密码较少的安全。密码不会自行“过期”,不会腐烂。新密码不会因为是新密码而比旧密码强。密码的强度取决于长度和复杂性,以及尽可能进行多因素身份验证。
免责声明:我是一名信息安全官员。