[Решено] Отключаем автоматический запрос смены пароля для FreeIPA

FreeIPA (IPA) - это комплексное решение для централизованного управления безопасностью Linux-систем, идентификацией и аутентификацией. Оно позволяет создавать многоуровневую систему управления доступом, где руководители подразделений могут добавлять пользователей в группы и настраивать доступ к ресурсам.

Во FreeIPA при добавлении пользователя и последующей его авторизации (в админке FreeIPA или по SSH) запрашивается принудительная смена пароля. Иногда возникают ситуации, когда надо отключить принудительную смену пароля.

Это происходит из-за того, что параметр krbPasswordExpiration по умолчанию равен дате создания пользователя.

Авторизуемся в домене и изменим параметр krbPasswordExpiration

$ kinit admin
$ ipa user-mod m.makarov --setattr=krbPasswordExpiration=20230817011529Z