Истечение Пароля OpenLDAP с pwdReset=TRUE?
Это не собирается работать :)
Нет (afaik) никакой установки реестра, которая включает или отключает доступ в Интернет и определенно нет никакой установки почтамта для позволения/отклонения интернет-использования. Я мог думать о некоторых (дрянной, легко съемный) препятствия, которые Вы могли бросить в своих пользователей, но в конечном счете Вы должны bloxk доступ в Интернет в своем брандмауэре и/или прокси-сервере.
- Вы могли установить IP-адрес шлюза на поддельный IP-адрес (плохая идея, потому что это замедляет ПК, нежелательный трафик LAN причин и пользователь могли - зависящий в его правах - chage это назад): используйте netsh.exe (см. MS Technet для объяснения) в сценарии входа в систему
- Вы могли испортить сервер DNS так, чтобы ПК не находил интернет-домены (плохая идея, потому что необходимо быть veeery осторожный, чтобы не испортить материал домена окон, много Доменной информации хранится в DNS, настолько отключающем, не никакая опция): см. эту документацию Microsoft для определенных настроек почтамта
- Вы могли установить прокси Internet Explorer, устанавливающий на поддельный IP (плохая идея, потому что это только влияет на Internet Explorer, и пользователи могут просто изменить его),
Таким образом, я действительно предложил бы: установите (прозрачный) прокси сквида с (прозрачным) AD/аутентификацией NTLM и заблокируйте определенных пользователей там.
Я не вижу, почему временный пароль должен истечь? Если пользователь никогда не входит в систему затем, это не должно истекать, потому что пользователь должен выбрать новый, таким образом, он знает это.
Согласно этому на первом доступе записи пользователем, пользователь должен будет изменить его на первой аутентификации http://linux.die.net/man/5/slapo-ppolicy
Вы говорите, что пользователь может проигнорировать изменение его, когда он сначала входит в?
-
1Нет, я говорю, что временный пароль должен только быть допустимым в течение 24-48 часов (т.е., он должен истечь, если пользователь, в которого он был отправлен, не входит в систему вскоре после получения его). Я не вижу способ осуществить это с политикой, все же. – jsight 6 October 2010 в 16:17
Похоже, что Вы, возможно, должны добавить pwdMustChange:TRUE для принуждения изменения на следующем входе в систему. Предварительно истекая пароль и отключение льготных логинов могут также требоваться.
Отключение льготных логинов вызовет проблемы для пользователей, которые позволяют их паролю истечь, таким образом, Вы могли бы хотеть увеличить время предупреждения истечения пароля.
Я понимаю, что это сообщение довольно старо, но ему еще не ответили. У меня нет опыта с OpenLDAP, но с OpenDJ существует ds-cfg-max-password-reset-age свойство, которое устанавливает максимальный отрезок времени, который пользователю дают для изменения их пароля после того, как это было сброшено.
Надеюсь, это поможет.
Вы можете установить pwdMustChange = true в ppolicy и добавить ] pwdReset = true пользователю,
Пользователь сможет успешно выполнить привязку, но получит запрос: «Пароль должен быть изменен».