Eu configurei a sobreposição do ppolicy para o OpenLDAP para ativar as políticas de senha. Essas coisas funcionam:
Se a conta estiver bloqueada devido a tentativas de intrusão (muitas senhas incorretas) ou a um tempo (o tempo de expiração é atingido), a conta deverá ser redefinida por um administrador.
No entanto, quando o administrador define pwdReset = TRUE no perfil, isso também parece substituir a política de expiração. Assim, a senha que o administrador enviou (que deve ser uma senha temporária) acaba sendo válida permanentemente.
Existe alguma maneira no OpenLDAP de ter uma senha que precise ser alterada, mas também DEVE expirar?
Não vejo por que uma senha temporária deve expirar? Se o usuário nunca efetuar login, ele não deverá expirar porque o usuário precisa selecionar o novo para que ele saiba.
De acordo com isso no primeiro acesso de um registro por um usuário, o usuário terá que alterá-lo na primeira autenticação link
você está dizendo que o usuário pode ignorar a mudança quando ele entra pela primeira vez?
Sei que este post é bem antigo, mas ainda não foi respondido. Eu não tenho nenhuma experiência com o OpenLDAP, mas com o OpenDJ existe uma propriedade ds-cfg-max-password-reset-age que define o período máximo de tempo que um usuário recebe para alterar sua senha foi redefinido.
Espero que isso ajude.
Você pode definir pwdMustChange=true para ppolicy e adicionar pwdReset=true ao usuário,
O usuário poderá vincular-se com êxito, mas receberá um aviso: "A senha deve ser alterada".
Parece que você pode precisar adicionar o pwdMustChange: TRUE para forçar uma alteração no próximo login. A pré-expiração da senha e a desativação dos logins extras também podem ser necessários.
A desativação dos logins extras causará problemas para os usuários que permitem que suas senhas expirem, portanto, talvez você queira aumentar o tempo de aviso de expiração de senha.
Tags authentication ldap openldap