Dépannage

Quels sont les problèmes rencontrés ?

L’utilisateur ne parvient pas à ouvrir une session sur un système UNIX suite à la modification d’un mot de passe Windows

Cause :  Windows ne signale pas de problème en cas d’échec de la synchronisation d’un mot de passe UNIX avec un nouveau mot de passe Windows.

Solution :  vérifiez le journal des événements de Windows pour connaître la raison de l’échec de la modification du mot de passe sur le système UNIX.

La synchronisation de mot de passe échoue dans un domaine Windows, de manière apparemment aléatoire

Cause :  la synchronisation de mot de passe n’est pas configurée de la même manière sur tous les contrôleurs du domaine. De ce fait, si un contrôleur de domaine non conforme accepte une modification de mot de passe d’utilisateur, il risque de ne pas être en mesure de la répercuter sur tous les ordinateurs UNIX.

Solution :  vérifiez que la synchronisation de mot de passe est configurée de la même manière sur tous les contrôleurs de domaine, surtout pour les paramètres des hôtes et les paramètres par défaut des clés de chiffrement et des ports.

Le mot de passe de l’utilisateur a été modifié sur certains ordinateurs, mais pas sur tous

Cause :  les stratégies de mot de passe sont plus restrictives sur certains ordinateurs, les noms d’utilisateurs ne sont pas identiques sur les ordinateurs Windows et UNIX ou l’utilisateur a modifié son mot de passe sur un ordinateur UNIX alors que la synchronisation bidirectionnelle n’est pas configurée.

Solution :  assurez-vous que les ordinateurs Windows et UNIX qui synchronisent les mots de passe utilisent des stratégies de mot de passe similaires. Si ce n’est pas le cas, lorsque l’utilisateur modifie son mot de passe sur l’ordinateur le moins restrictif, le système plus restrictif risque de ne pas accepter le nouveau mot de passe. Les stratégies de mot de passe qui régissent les longueurs minimales et maximales, la casse des caractères et les combinaisons alphanumériques, l’expiration et la réutilisation doivent être aussi proches que possible sur les ordinateurs Windows et UNIX qui synchronisent les mots de passe. De plus, les administrateurs des systèmes Windows et UNIX doivent s’assurer que les noms d’utilisateurs sont rigoureusement identiques (avec distinction des majuscules et des minuscules) sur les ordinateurs Windows et UNIX.

L’erreur ID 4104 est inscrite dans le journal des événements d’un compte système, dont le nom se termine généralement par un signe dollar ($)

Cause :  cette erreur n’est pas le symptôme d’un problème. Elle est inscrite dans le journal lorsqu’un contrôleur de domaine secondaire ou un serveur membre de domaine réinitialise son canal sécurisé avec le domaine. Dans ce cas, le mot de passe du serveur est également réinitialisé. La synchronisation de mot de passe intercepte ces demandes de modification de mot de passe ; comme elles sont destinées à des comptes d’ordinateurs plutôt qu’à des comptes d’utilisateurs ou de groupes, la synchronisation de mot de passe inscrit le numéro d’erreur 4104.

Solution : aucune mesure corrective n’est nécessaire.

Une message d’erreur concernant la clé de chiffrement est enregistré dans l’Observateur d’événements une fois l’installation de la synchronisation de mot de passe terminée

Cause :  cette erreur n’indique pas de problème ; il s’agit d’un rappel destiné à l’administrateur de la synchronisation de mot de passe afin de modifier la clé de chiffrement par défaut. La modification de la clé de chiffrement est une meilleure pratique de sécurité pour la synchronisation de mot de passe. En outre, cela aide à empêcher l’obtention de mots de passe par des utilisateurs non autorisés. En général, le texte descriptif de ce message d’erreur est « La clé de chiffrement par défaut n’est pas sécurisée. Générez une nouvelle clé de chiffrement. » Pour plus d’informations sur les meilleures pratiques, voir Meilleures pratiques pour la synchronisation de mot de passe.

Solution :  définissez une nouvelle clé de chiffrement à l’aide de la procédure figurant dans la rubrique Définition de la clé de chiffrement de mot de passe.

Je ne peux pas arrêter le démon SSOD (Single Sign-On Daemon) avec la commande kill -TERM sur Linux

Cause :  il s’agit d’une limitation connue.

Solution  Utilisez kill 9 SSOD_PID à la place.