<div dir="ltr"><div><div><div>@Martin<br><br></div>Ah that explains everything. We were using centos 6.5 + ipa 3.0.0<br></div>Now with a new test setup centos 7 + ipa 3.3.3, it works just as we wanted.<br><br></div>Thank all for the help!<br>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Sep 2, 2014 at 5:19 PM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On 09/02/2014 10:42 AM, Zip Ly wrote:<br>
> @Martin<br>
><br>
</div><div class="">> The second admin is my service account. I use this account to communicate<br>
> with our webapplication (it uses keytab and post/curl json to ipa). I can<br>
> add users without a problem. But when it comes to changing password, the<br>
> password is expired immediately.<br>
><br>
> I have only one password policy and that's the 'global_policy'. The<br>
> --maxlife you mentioned only affect this policy. If I use this service<br>
> account to change the user password, the policy is ignored just as stated<br>
> in the ipa wiki. Even if I set the --maxlife to 200, if the password is<br>
> being resetted by this first admin, then the expire date is set to 90 days<br>
> or expired immediately by the second admin/service account.<br>
><br>
> That's why I want to know how to change this 90 days and also apply it for<br>
> the service account.<br>
<br>
</div>What version of FreeIPA do you use? Maybe you are hitting<br>
<a href="https://fedorahosted.org/freeipa/ticket/3968" target="_blank">https://fedorahosted.org/freeipa/ticket/3968</a><br>
that we fixed in FreeIPA 3.3.3.<br>
<span class="HOEnZb"><font color="#888888"><br>
Martin<br>
</font></span></blockquote></div><br></div>