![[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекцим сроком действия пароля](https://itdraft.ru/wp-content/uploads/2023/02/hack_b-min-1.png "[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля 1")
[HowTO] Disable FreeIPA LDAP Authorization for Expired Users
Из-за дефолтной политики паролей FreeIPA, пользователь, у которого закончился срок действия пароля, все еще может авторизовываться через LDAP, если вы используете FreeIPA в качестве службы каталогов
Для отключения этого, необходимо изменить параметр Grace login limit в политиках паролей, с дефолтного значения “-1” на “0“.
Лучше всего это сделать, создав новую парольную политику для группы “ipausers” (все пользователи автоматически добавлены в эту группу) с приоритетом = 10 и выше, и параметром “Grace login limit” = 0
![[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля 1](https://itdraft.ru/wp-content/uploads/2023/02/ipausers.png "[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля 2")
Но не забываем создать новую политику для FreeIPA админов: “admins” (добавив в эту группу админов FreeIPA), с приоритетом = 5, и параметром “Grace login limit” = -1, что бы не потерять доступ к админке администратором FreeIPA, и не сбрасывать пароль пользователя admin
Selectel — ведущий провайдер облачной инфраструктуры и услуг дата-центров
Компания занимает лидирующие позиции на рынке на рынке выделенных серверов и приватных облаков, и входит в топ-3 крупнейших операторов дата-центров в России.
![[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля 2](https://itdraft.ru/wp-content/uploads/2023/02/ipaadmins.png "[Решено] Отключаем LDAP авторизацию FreeIPA для пользователей с истекшим сроком действия пароля 3")