Срок действия пароля OpenLDAP истекает с pwdReset = TRUE?

Я настроил наложение ppolicy для OpenLDAP, чтобы включить политики паролей. Вот эти вещи работают:

Блокировка пароля при слишком большом количестве неудачных попыток
После добавления pwdReset = TRUE к записи пользователя требуется изменение пароля.
Срок действия пароля

Если учетная запись заблокирована из-за попыток вторжения (слишком много неверных паролей) или времени (истечение срока действия), учетная запись должна быть сброшена администратором.

Однако, когда администратор устанавливает pwdReset = TRUE в профиле, похоже, это также отменяет политику истечения срока действия. Таким образом, пароль, который отправил администратор (который должен быть временным паролем), становится действительным навсегда.

Есть ли способ в OpenLDAP иметь пароль, который необходимо изменить, но также ДОЛЖЕН срок действия?

Вы можете установить pwdMustChange=true в политику и добавить pwdReset=true пользователю,

Пользователь сможет успешно выполнить привязку, но получит сообщение: «Пароль необходимо изменить».

Я понимаю, что этот пост довольно старый, но на него еще нет ответа. У меня нет опыта работы с OpenLDAP, но с OpenDJ есть ds-cfg-max-пароль сброса возраста свойство, которое устанавливает максимальный промежуток времени, в течение которого пользователь может изменить свой пароль после его сброса.

Надеюсь это поможет.

Я не понимаю, почему срок действия временного пароля истекает? Если пользователь никогда не входит в систему, срок его действия не должен истекать, потому что пользователю нужно выбрать новый, чтобы он / она это знал.

В соответствии с этим при первом доступе к записи пользователем, пользователь должен будет изменить ее при первой аутентификации. http://linux.die.net/man/5/slapo-ppolicy

Вы говорите, что пользователь может игнорировать его изменение при первом входе в систему?

Похоже, вам может потребоваться добавить pwdMustChange: TRUE, чтобы принудительно изменить при следующем входе в систему. Также может потребоваться предварительное истечение срока действия пароля и отключение льготного входа в систему.

Отключение льготного входа в систему вызовет проблемы для пользователей, у которых истечет срок действия пароля, поэтому вы можете увеличить время предупреждения об истечении срока действия пароля.