在考虑一些改进的可能解决方案时,我遇到了这个理论问题,但找不到令人满意的答案。你们中的一些人可能在实践中对此有第一手经验,所以问题是:
如何禁用 OpenLDAP 用户的密码更改?
该帐户必须保持启用状态,允许登录工作站并照常工作,但不能更改其自己的密码。这可以做到吗?如果可以,实现起来有多难?
欢迎提出任何建议!
供参考:服务器和工作站将运行 FreeBSD 和 OpenBSD 的混合版本。要禁用密码的帐户是学生帐户或通用工作站帐户。环境是一所学校。
答案1
目前还不清楚你想做什么,但你可以尝试使用OpenLDAP ACL创建您需要的限制。
通常,只有管理员才有修改密码的权限self,但您可以进一步限制某些 OU 的权限。
答案2
另一种可能性是实施密码策略覆盖。这可以让你对密码进行大量控制,包括针对不同用户组的不同规则。