Я нашел решение: В пользователях запись LDAP, наборShadowLastChange = 0
Это вынудит пользователя должным быть изменить их пароль LDAP. Однако существует также другая ошибка, затем необходимо изменить полномочия (ACL) на сервере LDAP (у меня было значение по умолчанию один из Allow Self entry modification
на OU=People), чтобы также позволить им изменять цель ShadownLastChange
.
Иначе они не могут изменить значение, и это остается в нуле, вынуждая их восстановить их пароль каждый раз, когда они входят в систему.
Попробуйте атрибут passwordMustChange
Если он включен, этот атрибут требует, чтобы пользователи изменили свои пароли при первом входе в каталог или после того, как пароль был сброшен Диспетчер каталогов. Пользователь должен изменить свой пароль, даже если пользовательские пароли отключены. Если для этого атрибута установлено значение off, пароли, назначаемые диспетчером каталогов, не должны соответствовать каким-либо очевидным соглашениям, и их будет трудно обнаружить. По умолчанию этот атрибут отключен.
@Brian изменение shadowlastchange = 0 на самом деле плохая идея. Большинство клиентов LDAP не предназначены для изменения значения shadowlastchange value. Таким образом, вы попадете в бесконечный цикл смены пароля при каждом входе в систему.
некоторый клиент ldap
nss-pam-ldapd - Эта функция недавно была добавлена в проект nss-pam-ldapd upstream Журнал: попробуйте обновить атрибут shadowLastChange пользователя при смене пароля ( обновление выполняется только в том случае, если атрибут присутствует с самого начала) http://lists.arthurdejong.org/nss-pam-ldapd-commit/2010/msg00302.html
sssd -
Все еще RFE
https://bugzilla.redhat.com/show_bug.cgi?id=739312
samba-ldap-tools - отклонено