无法使用 sssd 在 ubuntu 上更改 AD 密码

can't change AD password on ubuntu with sssd

我已经在 aws 中的 Ubuntu 18.04 服务器上配置了 sssd 以加入 AD 域。
我已经设法使用活动目录帐户成功登录,所以我假设所有 AD 服务都已在这台机器上正确配置。

当我尝试更改密码(使用 passwd)时出现问题。

lucas.camilo@DOMAIN@HOSTNAME:~$ passwd
Current Password:
New password:
Retype new password:
Password change failed. Server message: Please make sure the password meets the complexity constraints.
passwd: Authentication token manipulation error
passwd: password unchanged

至于错误消息,我已经检查了复杂性要求但不是那个(我设置的那个),我还发现 it's a generic error message.
将 debug_level 设置为 10(使用 sudo sss_debuglevel 10)后,我再次尝试,输出相同的消息,我在 sudo cat /var/log/sssd/krb5_child.log

上得到了这个

(...粘贴最后 4 行)

(Tue Jul  7 23:12:21 2020) [[sssd[krb5_child[2410]]]] [changepw_child] (0x0020): krb5_change_password failed [4][Password change rejected].
(Tue Jul  7 23:12:21 2020) [[sssd[krb5_child[2410]]]] [k5c_send_data] (0x0200): Received error code 1432158228
(Tue Jul  7 23:12:21 2020) [[sssd[krb5_child[2410]]]] [pack_response_packet] (0x2000): response packet size: [83]
(Tue Jul  7 23:12:21 2020) [[sssd[krb5_child[2410]]]] [k5c_send_data] (0x4000): Response sent.
(Tue Jul  7 23:12:21 2020) [[sssd[krb5_child[2410]]]] [main] (0x0400): krb5_child completed successfully

我没有找到太多使用该错误代码 (1432158228) 的信息,而且我对在 linux 上使用 AD 很陌生。 我做错了吗?从 linux?

更改 AD 密码是否有更好的方法

谢谢!

奇怪的是,它需要重新启动两次(以及几个小时什么都不做)才能正常工作。
希望不会再发生了。

如果有人在尝试更改 AD 服务器的密码时遇到此问题:默认组策略具有“最短密码使用期限”,这将阻止您在用户创建/上次密码更改后的 24 小时内更改密码.

解决方案是将 GPO 更改为零日并在域控制器上执行 gpupdate - 或者等待 24 小时。

要验证此问题,您可以使用如上所示的调试模式和查找错误代码 1432158228