Considerando possíveis soluções para algumas melhorias, eu me deparo com essa questão teórica e não consegui encontrar uma resposta satisfatória. Alguns de vocês podem ter experiência em primeira mão com isso na prática, então aqui vai a pergunta:
Como posso desativar a alteração de senha para um usuário do OpenLDAP?
A conta deve permanecer ativada, ter permissão para fazer logon nas estações de trabalho e trabalhar como de costume, mas não deve poder alterar sua própria senha. Isso pode ser feito? Se sim, qual é a dificuldade de implementá-lo?
Todas as sugestões são bem-vindas!
Para referência: Servidores e estações de trabalho devem rodar uma mistura de FreeBSD e OpenBSD. As contas para obter senha desativada são contas de estações de trabalho de estudantes ou genéricas. O meio ambiente é uma escola.
Não está muito claro o que você deseja fazer, mas você pode tentar usar ACLs do OpenLDAP para criar as restrições que você precisa.
Normalmente, a capacidade de modificar uma senha é restrita a self e administradores, mas você pode limitar isso ainda mais a certas UOs.
Outra possibilidade é implementar a sobreposição da política de senha. Isso dá a você muito controle sobre senhas, incluindo regras diferentes para diferentes grupos de usuários.