sssdはADコンピュータアカウントのパスワードを置き換えません。

sssdはADコンピュータアカウントのパスワードを置き換えません。

AD システム アカウントのパスワードを交換しなかった SSSD で構成された複数の RHEL サーバーがあるため、そのシステム アカウントが AD ドメインから削除されました。これは、ドメインコントローラで古いアカウントクリーンアップ操作が行われたために発生します。

この値を設定しない場合

ad_maximum_machine_account_password_age = 

デフォルトでは、/etc/sssd.confパスワードは30日ごとに交換されます。動作するシステムがあり、動作しないシステムがあります。テスト目的で、複数のシステムの値を1日に設定しました。

ad_maximum_machine_account_password_age = 1

また、コンピュータアカウントのパスワードの交換の成功または失敗に関する情報をログファイルにキャプチャできることを確認するために、ロギングを10に増やしました。

このコマンドを使用して手動でパスワードを交換することもできます。

adcli update

または

adcli update --show-details --show-password --domain doaminXYZ

2週間ごとにこのコマンドを実行するcronジョブを配置したいのですが、このソリューションは気に入らません。むしろちゃんと働いて欲しいです。

Red Hatにケースを開設しましたが、あまり役に立ちませんでした。また、インターネットで解決策を検索しましたが、これまで何も見つかりませんでした。

答え1

AD接続RHELボックスで同じ問題を解決中に問題が発生しました。テストボックスで時間を1日に設定し、SSSDとRealmdデーモンを再起動しました。約5分後、テストボックスのpwdLastSetプロパティが更新されました。

自動リセットでは、上記の設定を使用するためにSSSD v1.13.4から削除されたようです。ここを見てください: https://access.redhat.com/solutions/2420951

上記のリンクで参照されているSSSDリリースノートは、以下にあります。 https://docs.pagure.org/SSSD.sssd/users/relnotes/notes_1_13_4.html

ADシステムのパスワードを変更するには、ドメインセクションの下の/etc/sssd/sssd.confファイルに設定を追加する必要があります。

これが役立つことを願っています!

関連情報