web-dev-qa-db-ja.com

FreeIPA管理者のパスワードを変更できません-「現在のパスワードの最小有効期間が切れていません」

FreeIPAベースのシステムがあり、管理者のパスワードの有効期限が切れているため、変更する必要がありますが、SSHを介した標準のパスワード変更手順は失敗します。

sashka@cellar ~ ssh [email protected]
[email protected]'s password: 
Password expired. Change your password now.
Last failed login: Mon Jun 30 15:38:21 MSK 2014 from 116.10.191.195 on ssh:notty
There were 6071 failed login attempts since the last successful login.
Last login: Wed Apr 16 19:28:54 2014
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user admin.
Current Password: 
New password: 
Retype new password: 
Password change failed. Server message: Current password's minimum life has not expired

Password not changed.
passwd: Authentication token manipulation error
Connection to ipa.xxxxxxxxxx.com closed.

passwdを使用してパスワードを変更しようとすると、同じエラーメッセージが表示されて失敗します。

[admin@ipa ~]$ passwd
Changing password for user admin.
Current Password: 
New password: 
Retype new password: 
Password change failed. Server message: Current password's minimum life has not expired

Password not changed.
passwd: Authentication token manipulation error
[admin@ipa ~]$

この状況を解決するにはどうすればよいですか?

6
Alex

どういうわけか、最小のパスワードの有効期間が最大のパスワードの有効期間よりも長いパスワードポリシーを作成したようです。

最大値はdaysで指定され、最小値はhoursで指定されることに注意してください。これらを混同すると、これを行うのは簡単です。

確認するには、既存のパスワードポリシーを確認してください。

ipa pwpolicy-find

ipa pwpolicy-show global_policy

2番目の管理者アカウントでログインし、パスワードポリシーを変更します。

たとえば、7日の最短ライフと90日の最長ライフを設定するには、次のようにします。

コマンドラインから:

ipa pwpolicy-mod global_policy --minlife 168 --maxlife 90

ウェブUIから:

Change IPA password policy Web UI

最小寿命をゼロに設定して無効にすることもできます。

7
Michael Hampton