Ubuntu22.04 ActiveDirectory密码合成

Question

我有Ubuntu22.04客户端，用activeDirectory域帐户进行女巫登录。(加入域)

密码策略是有效的，每两个月强制一个新密码。密码可以在多个平台上更改(Owa，MS Team，TerminalServer)。

如果用户不更改Ubuntu中的密码，则Ubuntu客户端不会得到最同步的密码，而且只有旧密码才对登录有效。

在我的sssd.conf里

krb5_store_password_if_offline = True
cache_credentials = True

因为客户端在家庭办公中使用，需要在连接到vpn之前登录。

这有问题吗？我能强制同步吗。密码？

Answer 1

客户端(SSSD)最终会在VPN上同步密码。如果您不想等待，SSSD重新启动(sudo systemctl restart sssd.service)应该会触发同步，但这需要提高权限和技术技能，所以这是不现实的。

只要让SSSD完成其预定的同步，它就会自行解决。下一次当他们登录到操作系统时，它应该会询问新的密码。

无论如何，每两个月强制使用一个新密码是完全没有意义的，而且弊大于利。它迫使用户注意便笺上的密码等，这样会降低密码的安全性。密码不会自己“过期”，不会腐烂。新密码并不比旧密码强，只是因为它是新的。它们的力量来自于长度和复杂性，而且在可能的情况下也是多因素的。

免责声明:我是情报官员。