Почему pwdReset не устанавливается автоматически, если pwdMustChange истинно?
Каждый другой сервер каталогов, например Oracle автоматически установит pwdReset на TRUE , если pwdMustChange определяется в политике:
Когда пароль пользователя изменяется другим пользователем, например администратором паролей,
pwdResetустанавливается вTRUE.
С другой стороны, OpenLDAP не поддерживает , несмотря на документацию:
5.2.13 pwdMustChange
Этот атрибут указывает со значением "ИСТИНА", что пользователи должны изменить свои пароли при первом подключении к каталогу после того, как пароль установлен или сброшен администратором паролей. Если этот атрибут отсутствует или если значение равно "FALSE", пользователям не требуется менять свой пароль при привязке после того, как пароль администратор устанавливает или сбрасывает пароль . Этот атрибут не установлен из-за каких-либо действий, указанных в этом документе, он обычно устанавливается администратором паролей после сброса пароля пользователя.
Насколько я понимаю, это должно быть принудительно, то есть с помощью наложения ppolicy. Я понимаю как , но не понимаю почему. Есть ли какая-то конкретная причина, по которой OpenLDAP похож на этот?
OpenLDAP не работает из-за документации. В процитированной вами документации OpenLDAP явно указано, что он не автоматический и должен быть установлен администратором:
Этот атрибут не установлен из-за каких-либо действий, указанных в этом документе, обычно он устанавливается администратором пароля после сброса пароля пользователя.