Ubuntu 22.04 ActiveDirectory 密碼同步

我有使用 activeDirectory 域帳戶登錄的 Ubuntu 22.04 客戶端。（加入域）

密碼策略處於活動狀態，每 2 個月強制輸入一個新密碼。可以在多個平台（Owa、MS Teams、TerminalServer）上更改密碼。

如果使用者沒有在 Ubuntu 中更改他的密碼，它不會與 Ubuntu 客戶端同步，只有舊密碼對登錄有效。

在我的 sssd.conf 我有

krb5_store_password_if_offline = True
cache_credentials = True

因為客戶端是在homeoffice中使用的，需要先登錄才能連接到vpn。

這是一個問題嗎？我可以強制同步嗎？密碼？

客戶端 (SSSD) 最終將在 VPN 上同步密碼。如果您不想等待，SSSD 重啟 ( sudo systemctl restart sssd.service) 應該會觸發同步，但這需要更高的權限和技術技能，因此不現實。

只需讓 SSSD 進行預定的同步，它就會自行解決。下次他們登錄作業系統時，它應該要求輸入新密碼。

無論如何，每 2 個月強制使用新密碼絕對是荒謬的，而且弊大於利。它迫使使用者記下便籤等上的密碼，因此會使密碼的安全性降低。密碼不會自行“過期”，也不會腐爛。新密碼不會因為新密碼而比舊密碼強。它們的優勢來自長度和復雜性，以及盡可能多的身份驗證。

免責聲明：我是一名資訊安全官員。

引用自：https://serverfault.com/questions/1115095