Ubuntu

Ubuntu 22.04 ActiveDirectory 密碼同步

  • November 8, 2022

我有使用 activeDirectory 域帳戶登錄的 Ubuntu 22.04 客戶端。(加入域)

密碼策略處於活動狀態,每 2 個月強制輸入一個新密碼。可以在多個平台(Owa、MS Teams、TerminalServer)上更改密碼。

如果使用者沒有在 Ubuntu 中更改他的密碼,它不會與 Ubuntu 客戶端同步,只有舊密碼對登錄有效。

在我的 sssd.conf 我有

krb5_store_password_if_offline = True
cache_credentials = True

因為客戶端是在homeoffice中使用的,需要先登錄才能連接到vpn。

這是一個問題嗎?我可以強制同步嗎?密碼?

客戶端 (SSSD) 最終將在 VPN 上同步密碼。如果您不想等待,SSSD 重啟 ( sudo systemctl restart sssd.service) 應該會觸發同步,但這需要更高的權限和技術技能,因此不現實。

只需讓 SSSD 進行預定的同步,它就會自行解決。下次他們登錄作業系統時,它應該要求輸入新密碼。

無論如何,每 2 個月強制使用新密碼絕對是荒謬的,而且弊大於利。它迫使使用者記下便籤等上的密碼,因此會使密碼安全性降低。密碼不會自行“過期”,也不會腐爛。新密碼不會因為新密碼而比舊密碼強。它們的優勢來自長度和復雜性,以及盡可能多的身份驗證。

免責聲明:我是一名資訊安全官員。

引用自:https://serverfault.com/questions/1115095