无法使用 sssd 在 ubuntu 上更改 AD 密码

Question

我已在 aws 中的 Ubuntu 18.04 服务器上配置 sssd 以加入 AD 域。
我已经成功地使用活动目录帐户登录，所以我假设所有 AD 服务都在这台机器上正确配置。

当我尝试更改密码（使用 passwd）时出现此问题。

lucas.camilo@DOMAIN@HOSTNAME:~$ passwd
Current Password:
New password:
Retype new password:
Password change failed. Server message: Please make sure the password meets the complexity constraints.
passwd: Authentication token manipulation error
passwd: password unchanged

至于错误消息，我已经检查了复杂性要求，但不是那个（我是设置这些的人），我还发现it's a generic error message。
将 debug_level 设置为 10（使用 sudo sss_debuglevel 10）后，我再次尝试，在输出中得到相同的消息，我在 sudo cat /var/log/sssd/krb5_child.log 上得到了这个

(...粘贴最后 4 行)

(Tue Jul  7 23:12:21 2020) [[sssd[krb5_child[2410]]]] [changepw_child] (0x0020): krb5_change_password failed [4][Password change rejected].
(Tue Jul  7 23:12:21 2020) [[sssd[krb5_child[2410]]]] [k5c_send_data] (0x0200): Received error code 1432158228
(Tue Jul  7 23:12:21 2020) [[sssd[krb5_child[2410]]]] [pack_response_packet] (0x2000): response packet size: [83]
(Tue Jul  7 23:12:21 2020) [[sssd[krb5_child[2410]]]] [k5c_send_data] (0x4000): Response sent.
(Tue Jul  7 23:12:21 2020) [[sssd[krb5_child[2410]]]] [main] (0x0400): krb5_child completed successfully

我没有发现太多使用该错误代码 (1432158228) 的内容，而且我对在 linux 上使用 AD 不熟悉。 我做错了吗？有没有更好的办法从linux修改AD密码？

谢谢！

Answer 1

奇怪的是，它需要重新启动两次（以及几个小时什么都不做）才能使其正常工作。
希望不会再发生。

Answer 2

如果有人在尝试更改 AD 服务器的密码时遇到此问题：默认组策略具有“最小密码年龄”，这将阻止您在创建用户/之前更改密码后 24 小时内更改密码。

解决方案是将 GPO 更改为零天并在域控制器上执行 gpupdate - 或等待 24 小时。

要验证此问题，您可以使用如上所示的调试模式并查找错误代码 1432158228