[HowTO] Disable FreeIPA LDAP Authorization for Expired Users
Из-за дефолтной политики паролей FreeIPA, пользователь, у которого закончился срок действия пароля, все еще может авторизовываться через LDAP, если вы используете FreeIPA в качестве службы каталогов
Для отключения этого, необходимо изменить параметр Grace login limit в политиках паролей, с дефолтного значения “-1” на “0“.
Лучше всего это сделать, создав новую парольную политику для группы “ipausers” (все пользователи автоматически добавлены в эту группу) с приоритетом = 10 и выше, и параметром “Grace login limit” = 0
Но не забываем создать новую политику для FreeIPA админов: “admins” (добавив в эту группу админов FreeIPA), с приоритетом = 5, и параметром “Grace login limit” = -1, что бы не потерять доступ к админке администратором FreeIPA, и не сбрасывать пароль пользователя admin
Selectel — ведущий провайдер облачной инфраструктуры и услуг дата-центров
Компания занимает лидирующие позиции на рынке на рынке выделенных серверов и приватных облаков, и входит в топ-3 крупнейших операторов дата-центров в России.