嘿，我来帮你搞定这个麻烦！你遇到的问题大概率是因为API调用时默认触发了强制密码重置逻辑，或者GitLab的全局配置里有相关限制，下面是几个可行的解决方案：

1. 调整CAS调用GitLab API的参数 #

当你的CAS服务器调用GitLab的Users API更新用户密码时，一定要显式设置force_password_reset参数为false。这个参数控制用户下次登录是否需要重置密码，部分GitLab版本在只传入password字段时，会默认开启强制重置。

举个API调用的示例（PUT请求）：

curl --request PUT --header "PRIVATE-TOKEN: <你的管理员访问令牌>" \
     --data "password=同步的密码内容&force_password_reset=false" \
     "https://你的GitLab实例地址/api/v4/users/<目标用户ID>"

确保CAS客户端在调用时包含这个参数，这样设置的密码就会被标记为永久有效，不会触发重置要求。

2. 检查GitLab的全局密码策略配置 #

打开GitLab的主配置文件/etc/gitlab/gitlab.rb，检查并调整以下配置项：

• 禁用密码过期功能：

  gitlab_rails['password_expiration_enabled'] = false
  

• 如果之前设置过密码过期天数，注释或归零：

  # gitlab_rails['password_expiration_days'] = 90
  

修改完成后，重新配置并重启GitLab：

sudo gitlab-ctl reconfigure
sudo gitlab-ctl restart

这些配置会确保GitLab不会因为密码过期而强制用户重置。

3. 清除用户的强制重置标记 #

如果已经有用户被标记为需要强制重置密码，可以通过两种方式处理：

• 后台手动操作：登录GitLab管理员账号，进入用户列表，找到目标用户并编辑信息，取消勾选「强制密码重置」选项。
• API批量处理：用户数量较多时，用API批量更新：

  curl --request PUT --header "PRIVATE-TOKEN: <你的管理员访问令牌>" \
       --data "force_password_reset=false" \
       "https://你的GitLab实例地址/api/v4/users/<目标用户ID>"
  

4. 验证OmniAuth CAS的配置 #

确保你的GitLab OmniAuth CAS配置没有触发密码重置的额外设置：比如omniauth_block_auto_created_users保持关闭（默认状态），omniauth_auto_link_user已开启（你已经实现自动注册，这个应该没问题）。

完成以上步骤后，用户通过CAS登录时就不会再被要求设置新密码啦！

内容的提问来源于stack exchange，提问作者José Hidalgo