[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля

FreeIPA (IPA) - это комплексное решение для централизованного управления безопасностью Linux-систем, идентификацией и аутентификацией. Оно позволяет создавать многоуровневую систему управления доступом, где руководители подразделений могут добавлять пользователей в группы и настраивать доступ к ресурсам.

Из-за дефолтной политики паролей FreeIPA, пользователь, у которого закончился срок действия пароля, все еще может авторизоваться через LDAP, если вы используете FreeIPA в качестве службы каталогов

Для отключения этого, необходимо изменить параметр Grace login limit в политиках паролей, с дефолтного значения -1 на 0.

Лучше всего это сделать, создав новую парольную политику для группы ipausers (все пользователи автоматически добавлены в эту группу) с приоритетом = 10 и выше, и параметром Grace login limit = 0

Политика паролей группы ipausers

Но не забываем создать новую политику для FreeIPA админов: admins (добавив в эту группу админов FreeIPA), с Приоритетом = 5, и параметром Grace login limit = -1, что бы не потерять доступ к админке администратором FreeIPA, и не сбрасывать пароль пользователя admin

Политика паролей группы admins