<html><head><style type='text/css'>p { margin: 0; }</style></head><body><div style='font-family: Times New Roman; font-size: 12pt; color: #000000'>on related problems:<br><br>I opened a bug regarding messages given to user on lightdm: https://bugs.launchpad.net/ubuntu/+source/lightdm/+bug/1009013<br><br>seems that pam interaction with user is not correctly handled by graphical logins.<br><br><hr id="zwchr"><b>De: </b>"Marc Grimme" <grimme@atix.de><br><b>A: </b>"End-user discussions about the System Security Services Daemon" <sssd-users@lists.fedorahosted.org><br><b>CC: </b>freeipa-users@redhat.com<br><b>Enviat: </b>dimarts, 20 de novembre de 2012 10:25:56<br><b>Assumpte: </b>Re: [SSSD-users] [Freeipa-users] Problem with password reset on ubuntu 12.04 (lightdm)<br><br>Am 20.11.2012 09:39, schrieb Sumit Bose:<br>> On Mon, Nov 19, 2012 at 09:18:51PM +0100, Marc Grimme wrote:<br>>> Hello sssd list.<br>>> My problem is that a with sssd configured ubuntu 12.04 client cannot<br>>> change a password that has to be set a new for IPA.<br>>> As I've learned from the IPA list there are indications that sssd might<br>>> be the problem in this case.<br>>><br>>> With logging=10 in sssd.conf I see the following logs by sssd:<br>>><br>>> When a user password expires the users are requested to change their<br>>> password (in the login screen).<br>>> They'll type their old password and then repeat it as part of the change<br>>> process. Nevertheless - although the password matches - they are not<br>>> issued to input their new password but get the error message that this<br>>> action could not be performed (Password change failed. Server message..).<br>> I guess it is you PAM configuration. If you use a client side password<br>> checker, e.g. pam_cracklib or pam_pwquality.so,  in the password section<br>> of you PAM configuration you have to add the 'use_authtok' option to<br>> pam_sss in the section. If you do not use any checker you must not use<br>> 'use_authtok' here because sssd would expect a password to be available<br>> on the PAM stack but no module sets it.<br>><br>> From your description I guess you do not have a client-side password<br>> checker but 'use_authtok' is set. If this is the case, please remove<br>> 'use_authtok' and try again.<br>><br>> HTH<br>><br>> bye,<br>> Sumit<br>> _______________________________________________<br>> sssd-users mailing list<br>> sssd-users@lists.fedorahosted.org<br>> https://lists.fedorahosted.org/mailman/listinfo/sssd-users<br><br>Hi Sumit,<br>thanks very much.<br>I replaced the line<br>/etc/pam.d/common-password:<br>password sufficient pam_sss.so use_authtok<br>with<br>password sufficient pam_sss.so<br>restarted lightdm and the password change succeeded like a charm.<br><br>Regards Marc.<br>_______________________________________________<br>sssd-users mailing list<br>sssd-users@lists.fedorahosted.org<br>https://lists.fedorahosted.org/mailman/listinfo/sssd-users<br></div></body></html>