// 此模板仅供参考,如果不适用可以修改
我们发现有的环境新增用户,在ssh登录的时候会强制用户修改初始密码,但是有的环境又不需要。
这个首次登录策略 - 强制修改的配置,是在哪里修改,可以控制ssh是否应用这个策略?
感觉这个选项是有个配置来设置ssh是否生效强制修改策略的,我想知道在哪个地方修改这个配置。
openUBMC 25.12
新增用户
希望了解到如何设置这个配置
[实际发生了什么,包含错误信息]
[列出您已经尝试过的解决方案及结果]
[详细总结您对此问题的分析结论]
答案内容由AI生成,仅供参考:
| 需求 | 解决方案 |
|---|---|
| 统一控制所有用户首次登录是否强制改密 | 修改全局策略 InitialPasswordNeedModify |
| 仅对特定用户强制改密 | 使用 ipmcset 或 Redfish 设置 FirstLoginPolicy |
| 禁用 SSH 登录时的强制改密 | 将策略设为 PromptPasswordReset 或 null |
| 排查密码修改失败问题 | 检查密码复杂度、字符合法性、日志 /var/log/app.log |
建议操作路径:
- 登录 Web 或 CLI,确认目标用户的
FirstLoginPolicy值- 根据实际需求使用
ipmcset命令修改策略- 测试 SSH 登录行为是否符合预期
在 openUBMC 环境中,用户首次通过 SSH 登录时是否需要强制修改密码,是由系统的 首次登录策略(FirstLoginPolicy) 控制的。该策略决定了新用户或密码被重置后的用户在首次登录时的行为。
问题核心解析您观察到的现象——有的环境 SSH 登录会强制改密,有的不会——正是由于不同环境中 FirstLoginPolicy 的配置不同所致。
该策略不是独立作用于某个接口的开关,而是可以按用户粒度、甚至按登录方式(如 SSH、Web、IPMI 等)分别控制。因此,您可以精准地设置某类用户通过 SSH 登录时是否需要修改密码。
相关核心组件与配置项
ForcePasswordReset:强制修改密码(首次登录必须改密,否则无法继续)PromptPasswordReset:提示修改密码(建议修改,但可跳过)
当
FirstLoginPolicy设置为ForcePasswordReset时,用户通过 SSH 登录会立即被要求修改密码;若设置为PromptPasswordReset,则仅提示,非强制。
openUBMC 提供了 D-Bus/Redfish 接口用于管理首次登录策略:
| 方法 | 说明 |
|---|---|
GetFirstLoginModifyPolicy() |
获取当前用户的首次登录策略 |
SetFirstLoginModifyPolicy(user_id, policy) |
设置指定用户的首次登录策略 |
例如,在命令行中可调用:
ipmcset -t user -d firstloginpolicy -v <UserID> ForcePasswordReset
FirstLoginPolicy 和 PasswordChangeRequired 标志。ForcePasswordReset,则 SSH 会话将中断正常 shell 启动流程,转而引导用户进入密码修改流程。
示例错误原因:用户尝试设置的密码中包含了不允许的特殊字符,而系统仅接受
~!@#$%^&*()_-=+|\[]{};':".,<>/?等白名单字符。
如何配置 SSH 是否启用首次登录强制修改?
注意:Web 界面中设置的策略通常同时作用于 SSH、IPMI、Redfish 等所有接口,除非有定制化逻辑分离。
使用 ipmcset 命令设置指定用户的首次登录策略:
# 强制用户 ID 3 首次登录时修改密码
ipmcset -t user -d firstloginpolicy -v 3 ForcePasswordReset
# 查询当前策略
ipmcget -t user -d firstloginpolicy -v 3
在系统固件构建阶段,可通过以下参数预设策略:
Custom_AdminFirstLoginPolicy=1 # 0: 提示, 1: 强制
BMCSet_CustomFirstLoginPolicyX=1 # X 为用户 ID,设置特定用户的策略
这些配置写入镜像后,设备首次启动即生效。
PATCH /redfish/v1/AccountService/Accounts/{Id}
{
"Oem": {
"OpenUBMC": {
"FirstLoginPolicy": "ForcePasswordReset"
}
}
}
关键注意事项| 事项 | 说明 |
|---|---|
| 密码复杂度 | 若用户修改密码失败,请确保新密码符合系统复杂度要求(包含大小写字母、数字、特殊字符,长度≥8) |
| 非法字符过滤 | 系统明确限制可用特殊字符集,避免使用 Unicode 或未授权符号 |
| SSH 服务状态 | 确保 SSH 服务正常运行且 sshd_config 中未禁用密码认证 |
| 策略优先级 | 若用户同时具有紧急登录权限(Emergency User),则可能绕过首次登录策略 |
为什么有些环境有策略,有些没有?| 原因 | 说明 |
|---|---|
| 镜像版本差异 | 不同版本的 openUBMC 镜像默认策略不同(如 25.03 vs 25.12) |
| 定制化配置 | 某些项目在构建时关闭了全局首次登录策略 |
| 用户创建方式不同 | 通过脚本创建的用户可能未显式设置 FirstLoginPolicy,继承默认值 |
可通过以下命令查看系统默认策略:
busctl get-property bmc.openubmc.account GlobalAccountConfig InitialPasswordNeedModify
| 需求 | 解决方案 |
|---|---|
| 统一控制所有用户首次登录是否强制改密 | 修改全局策略 InitialPasswordNeedModify |
| 仅对特定用户强制改密 | 使用 ipmcset 或 Redfish 设置 FirstLoginPolicy |
| 禁用 SSH 登录时的强制改密 | 将策略设为 PromptPasswordReset 或 null |
| 排查密码修改失败问题 | 检查密码复杂度、字符合法性、日志 /var/log/app.log |
- 登录 Web 或 CLI,确认目标用户的
FirstLoginPolicy值- 根据实际需求使用
ipmcset命令修改策略- 测试 SSH 登录行为是否符合预期
如需进一步排查具体环境行为差异,建议收集以下信息:
ipmcget -t user -d firstloginpolicy -v <UserID>/etc/passwd 和 /etc/shadow 中用户状态/var/log/app.log 中与 password reset 相关日志技术支持参考文档:openUBMC 安全配置指南、账户管理模块设计文档、Redfish 扩展规范
test
参考机器人的回答。
有些环境当用户设置为强制修改,web会强制修改,但是ssh却跳过了。不同环境表现不一致,我想知道ssh的首次登录策略是哪个属性控制的?
或者有没有接口可以控制新建用户的默认首次登录策略?
没有单独针对ssh的策略属性控制。
区别点在于, 如果环境上用的debug包(bingo build 或bingo build -bt debug构建的包), 使用ssh登录上去是用的/bin/bash,不会触发首次登录检查。 可以手动执行clp_commands触发。
如果是release包(bingo build -bt release构建的包), 使用ssh登录上去是用的clp_commands,会直接触发首次登录检查。