<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sun, May 1, 2016 at 4:53 AM, Joshua J. Kugler <span dir="ltr"><<a href="mailto:joshua@azariah.com" target="_blank">joshua@azariah.com</a>></span> wrote:<br><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">We have a situation where the passwords in FreeIPA need to be synchronized<br>
with another system in the company (a database of users, which is the<br>
authoritative source for users and passwords).  But, from what I read, the<br>
documentation is telling me we can't do that, because if we followed this work<br>
flow:<br>
<br>
1. Users goes to "master DB" and changes their password<br>
2. master DB runs a script which sets password on FreeIPA system<br>
3. User's login is now broken because the password is expired.<br></blockquote><div><br></div><div>leaving the design/philosophy aside, you could modify your users' krbpasswordexpiration ldap attribute in your script that changes the freeipa password from your master DB password source. It's quite simple using your ldap tools of choice.<br> <br></div></div><div class="gmail_signature">--<br>Groeten,<br>natxo</div>
</div></div>