FreeIPA管理者のパスワードを変更できません-「現在のパスワードの最小有効期間が切れていません」
FreeIPAベースのシステムがあり、管理者のパスワードの有効期限が切れているため、変更する必要がありますが、SSHを介した標準のパスワード変更手順は失敗します。
sashka@cellar ~ ssh [email protected]
[email protected]'s password:
Password expired. Change your password now.
Last failed login: Mon Jun 30 15:38:21 MSK 2014 from 116.10.191.195 on ssh:notty
There were 6071 failed login attempts since the last successful login.
Last login: Wed Apr 16 19:28:54 2014
WARNING: Your password has expired.
You must change your password now and login again!
Changing password for user admin.
Current Password:
New password:
Retype new password:
Password change failed. Server message: Current password's minimum life has not expired
Password not changed.
passwd: Authentication token manipulation error
Connection to ipa.xxxxxxxxxx.com closed.
passwdを使用してパスワードを変更しようとすると、同じエラーメッセージが表示されて失敗します。
[admin@ipa ~]$ passwd
Changing password for user admin.
Current Password:
New password:
Retype new password:
Password change failed. Server message: Current password's minimum life has not expired
Password not changed.
passwd: Authentication token manipulation error
[admin@ipa ~]$
この状況を解決するにはどうすればよいですか?
どういうわけか、最小のパスワードの有効期間が最大のパスワードの有効期間よりも長いパスワードポリシーを作成したようです。
最大値はdaysで指定され、最小値はhoursで指定されることに注意してください。これらを混同すると、これを行うのは簡単です。
確認するには、既存のパスワードポリシーを確認してください。
ipa pwpolicy-find
ipa pwpolicy-show global_policy
2番目の管理者アカウントでログインし、パスワードポリシーを変更します。
たとえば、7日の最短ライフと90日の最長ライフを設定するには、次のようにします。
コマンドラインから:
ipa pwpolicy-mod global_policy --minlife 168 --maxlife 90
ウェブUIから:
最小寿命をゼロに設定して無効にすることもできます。