![[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекцим сроком действия пароля](https://itdraft.ru/wp-content/uploads/2023/02/hack_b-min-1.png "[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля 1")
[HowTO] Disable FreeIPA LDAP Authorization for Expired Users
Из-за дефолтной политики паролей FreeIPA, пользователь, у которого закончился срок действия пароля, все еще может авторизовываться через LDAP, если вы используете FreeIPA в качестве службы каталогов
Для отключения этого, необходимо изменить параметр Grace login limit в политиках паролей, с дефолтного значения “-1” на “0“.
Лучше всего это сделать, создав новую парольную политику для группы “ipausers” (все пользователи автоматически добавлены в эту группу) с приоритетом = 10 и выше, и параметром “Grace login limit” = 0
![[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля 1](https://itdraft.ru/wp-content/uploads/2023/02/ipausers.png "[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля 2")
Но не забываем создать новую политику для FreeIPA админов: “admins” (добавив в эту группу админов FreeIPA), с приоритетом = 5, и параметром “Grace login limit” = -1, что бы не потерять доступ к админке администратором FreeIPA, и не сбрасывать пароль пользователя admin
![[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля 2](https://itdraft.ru/wp-content/uploads/2023/02/ipaadmins.png "[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля 3")
