У меня FreeIPA используется в основном для аутентификации на основе LDAP во многих локальных веб-сервисах. К сожалению, LDAP разрешает пользователям входить в сторонние приложения, даже если срок действия пароля пользователя истек (включая первый случайный пароль, срок действия которого уже истек и который еще не был изменен).
Есть ли способ настроить «политику», чтобы запрещать пользователям с истекшим сроком входа в систему везде, кроме веб-интерфейса FreeIPA, позволяя пользователям изменять только свой пароль с истекшим сроком действия?
С Уважением,
Нет, не сейчас. См. Соответствующие билет вверх по течению.
Что вы можете сделать, когда это применимо, так это аутентифицировать пользователей с помощью Kerberos, который не регистрирует пользователей по истечении срока действия. Дополнительная информация о FreeIPA и доступных модулях веб-приложений находится на странице FreeIPA.org. Проверка подлинности веб-приложения.