我有一个 FreeIPA,主要用于许多本地 Web 服务中的基于 LDAP 的身份验证。不幸的是,即使用户的密码已过期(包括第一个随机密码,该密码已过期且尚未更改),LDAP 仍授权用户登录第三方应用程序。
有没有办法配置一个“策略”来拒绝登录已过期的用户访问 FreeIPA 网络界面以外的所有地方,而只允许用户更改已过期的密码?
问候,
答案1
不,目前没有。请参阅相关上行票。
在适用的情况下,您可以做的是通过 Kerberos 对用户进行身份验证,该服务在过期时不会登录用户。有关 FreeIPA 和可用 Web 应用程序模块的更多信息,请参阅 FreeIPA.org 页面Web 应用程序身份验证。