linux - 密码在用户添加到 FreeIPA 后就过期了？-6ren

linux - 密码在用户添加到 FreeIPA 后就过期了？

转载作者：行者123 更新时间：2023-12-03 09:58:46

30

4

我已经设置了一个 FreeIPA 服务器。我面临一个问题，即首次创建用户时密码已过期。所以新用户在第一次登录时应该总是设置他的密码，定义在 here 中。 .但我不想要这个功能。

我正在使用 this library在 FreeIPA 中创建或添加用户。

所以，我像这样连接 FreeIPA-

private function getIPA()
{
    $host = env('FREEIPA_HOST', 'cloud-host-ipa.com');
    $certificate = database_path(env('FREEIPA_CERTIFICATE', 'ca.crt'));
    try {
        return new \FreeIPA\APIAccess\Main($host, $certificate);
    } catch (Exception $e) {
        throw new \ErrorException("Error {$e->getCode()}: {$e->getMessage()}");
        return false;
    }
}

private function getIPAConnection() //Ged authinticated admin IPA connection
{
    $ipa = $this->getIPA();

    try {
        $auth = $ipa->connection()->authenticate(env('FREEIPA_ADMIN_NAME', 'oc-ipa-connector'), env('FREEIPA_ADMIN_PASS', 'ADMIN_PASS'));
        if ($auth) {
            return $ipa;
        } else {
            $auth_info = $ipa->connection()->getAuthenticationInfo();
            $auth_info = implode(' ', $auth_info);
            throw new \ErrorException("\nLogin Failed : {$auth_info}");
            //return false;
        }
    } catch (Exception $e) {
        throw new \ErrorException("\nError {$e->getCode()}: {$e->getMessage()}");
        //return false;
    }
}

然后像这样添加一个用户 -

$ipa = $this->getIPAConnection();
try {
    $new_user_data = array(
        'givenname' =>  $givenname,
        'sn'        =>  $sn,
        'uid'       =>  $uid,
        //'userpassword' => $_POST["userpassword"],
        'mail'      =>  $mail,
        'mobile'    =>  $phone
    );

    $add_user = $ipa->user()->add($new_user_data);
    if ($add_user) {
        return true;
    }
} catch (Exception $e) {
    throw new \ErrorException("Error {$e->getCode()}: {$e->getMessage()}");
    return false;
}

此代码工作正常，并添加了用户。

然后我用这个代码设置密码-

$ipa = $this->getIPAConnection();

try {
    $user_info = $ipa->user()->get($uid);

    if($user_info != false)
    {
        try {
            $new_user_data = array(
                'userpassword' => $password,
            );

            $mod_user = $ipa->user()->modify($uid, $new_user_data);

            if ($mod_user) {
                return true;
            }
            else
            {
                return false;
            }
        } catch (Exception $e) {
            throw new \ErrorException("Error {$e->getCode()}: {$e->getMessage()}");
        }
    }
} catch (Exception $e) {
    throw new \ErrorException("Error {$e->getCode()}: {$e->getMessage()}");
}

密码设置也很完美。但是设置的密码一设置就自动失效。

我希望我的用户使用此密码至少 1 周。所以，我想禁用 this特征。有什么实用的方法吗？

关于-

我创建了 this issue在 FreeIPA 中为我们提供解决方法，但问题已关闭并标记为 - 关闭: wontfix .所以，我想知道是否有解决方法？

最佳答案

链接中提供了答案https://www.redhat.com/archives/freeipa-users/2012-June/msg00360.html .

您可以从以下命令中看到密码的全局策略:
[server]$ ipa pwpolicy-show Group: global_policy Max lifetime (days): 90 Min lifetime (hours): 1 History size: 0 Character classes: 0 Min length: 8 Max failures: 6 Failure reset interval: 60 Lockout duration: 600
您可以通过运行以下命令为要将用户添加到的组创建新的策略覆盖:
[server]$ ipa pwpolicy-add sysadmin --minlife=0 Priority: 50 Group: sysadmin Min lifetime (hours): 0 Priority: 50
现在，此策略覆盖全局密码策略并仅为该组创建一个策略。

如果要修改全局策略，可以使用以下命令执行相同操作:[server]$ ipa pwpolicy-mod global_policy --minlife=0 Group: global_policy Max lifetime (days): 90 Min lifetime (hours): 0 History size: 0 Character classes: 0 Min length: 8 Max failures: 6 Failure reset interval: 60 Lockout duration: 600
请注意将 Min life(hours) 更改为 0，这会导致密码永不过期。

创建用户后，您需要从服务器中的脚本运行此代码:
echo -e $PASSWORD\n$PASSWORD\n$PASSWORD | kinit $username kdestroy
注意需要发送PASSWORD和 username作为脚本的参数并远程执行此脚本。

关于linux - 密码在用户添加到 FreeIPA 后就过期了？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/59374179/

30

4

0

文章推荐： python - 没有名为组合的模块(来自导入 wx.combo) - pyspread

文章推荐： linux - 根据列的值保留唯一 ID？

linux - FreeIPA 无主机复制
我在 IPA 服务器和副本(Centos 6.6 ipa-server-3.0.0)之间复制注册到 FreeIPA 的主机时遇到问题。如果主机已注册到副本，我无法在 Master WEB UI 上看
linux - 密码在用户添加到 FreeIPA 后就过期了？
我已经设置了一个 FreeIPA 服务器。我面临一个问题，即首次创建用户时密码已过期。所以新用户在第一次登录时应该总是设置他的密码，定义在 here 中。 .但我不想要这个功能。我正在使用 this
linux - 在 FreeIPA 中自动创建主目录时权限不正确
我已经为我的系统配置了一个 IPA 域，并且还启用了当用户使用 --enablemkhomedir 选项登录时自动创建主目录。我遇到的问题是每当用户登录时，都会为它创建一个主目录，权限为 755。但我
ldap-query - 在 FreeIPA 服务器上测试组成员
我需要检查用户是否属于 FreeIPA 上的某个组。 (目前，我正在命令行上进行测试，以便在 Node 中编写实际代码之前进行正确的搜索)。基于搜索，我使用以下查询: ldapsearch -x -b
openssl - FreeIPA 外部 CA(中间 CA)
我们正在使用我们现有的 CA 进行 freeipa 安装。在安装过程中，会生成 CSR，并且必须由 CA 签名才能创建证书。这个证书必须有 X509v3 Basic Constraints: CA:T
linux - 将 FreeIPA 服务器作为 docker 容器启动时出错
当我运行以下命令时出现错误: docker run --name freeipa-server-container -ti \ -h ipa.example.test \ --read-o
linux - 在 CentOS 上安装 FreeIPA 时出错
我收到一条消息，说我已在我的 CentOS 计算机上成功安装了 FreeIPA，但是当我尝试从浏览器登录时，我收到此消息。我的主机名是 mike.imagine所以我输入https://mike.i
ssl - 带有 cname 的 FreeIPA 请求证书
我刚才想知道如何为 cname 创建 ssl 证书。这是因为我们总是为我们的虚拟机使用通用的 a 记录。用户应通过 SSL 通过服务名称访问在这些虚拟机上运行的服务。我们使用 FreeIPA 作为我们
go - Freeipa Ldap 与 GO 集成
我正在尝试使用包“gopkg.in/ldap.v2”将 FreeIPA 与 golang 集成，我在 FreeIPA UI 中创建了一个名为“test”的角色并尝试搜索该角色通过命令行: ldaps
docker - freeipa-server 容器不会在 docker compose 中启动
主机操作系统是Ubuntu 19.10。我已经成功启动FreeIPA container使用 docker run，但我想让它在 compose 中工作。当我运行 docker-compose up
linux - 在 Linux 机器上配置 IPA 客户端 (FreeIPA)
我在 Linux 机器上配置 IPA Cleint (FreeIPA) 时遇到此错误。 Kerberos authentication failed kinit: Clock skew too gre
centos - Yum 没有为 CentOS 7.7 提供最新的 FreeIPA (4.8.7)
根据 https://www.freeipa.org/page/Downloads，最新的 freeIPA 版本是 4.8.7 ，但是当尝试在新的 Vanilla CentOS 7.7 机器上安装它时
linux - FreeIPA 的 NSCD(命名服务缓存守护进程)中的 "Positive entries"和 "Negative entries"是什么
“正条目”和“负条目”统计信息位于“主机缓存”部分下的 nscd -g 命令中。从nscd.conf手册中，我看到“正项是指定缓存中的成功查询”和“负项是指定缓存中的成功查询”。但是，当查询本身意味着

首页

博学

6Ren·AI

商城

linux - 密码在用户添加到 FreeIPA 后就过期了？