<div dir="ltr"><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Hi,</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">We are using FreeIPA's LDAP as the base for user authentication in a different application. So far I have created a sysaccount which does the lookup etc for a user and things are working as expected. I'm even able to use OTP from the external app.  </div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">One problem I'm struggling to fix is the expired passwords. Is there a way to deny bind to LDAP only from this application? Obviously the user would need to go to IPA's web UI and reset his password there. </div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">I came across this ticket <a href="https://fedorahosted.org/freeipa/ticket/1539">https://fedorahosted.org/freeipa/ticket/1539</a> but looks like this is an old one. </div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Thanks.</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">--Prashant</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div></div>