<div dir="ltr"><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">I cherrypicked the commit id 3b7d5e7543a074d7d24556cadc6c95be9871cfc6 and compiled the ipa-pwd-extop slapi plugin. </div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif">Now the user is denied bind. But unable to reset the password.</div><div class="gmail_default" style="font-family:"trebuchet ms",sans-serif"><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 8 July 2016 at 13:21, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 07/07/2016 05:19 PM, Prashant Bapat wrote:<br>
> Anyone ?!<br>
><br>
> On 6 July 2016 at 22:36, Prashant Bapat <<a href="mailto:prashant@apigee.com">prashant@apigee.com</a><br>
</span><span class="">> <mailto:<a href="mailto:prashant@apigee.com">prashant@apigee.com</a>>> wrote:<br>
><br>
>     Hi,<br>
><br>
>     We are using FreeIPA's LDAP as the base for user authentication in a<br>
>     different application. So far I have created a sysaccount which does the<br>
>     lookup etc for a user and things are working as expected. I'm even able to<br>
>     use OTP from the external app.<br>
><br>
>     One problem I'm struggling to fix is the expired passwords. Is there a way<br>
>     to deny bind to LDAP only from this application? Obviously the user would<br>
>     need to go to IPA's web UI and reset his password there.<br>
><br>
>     I came across this ticket <a href="https://fedorahosted.org/freeipa/ticket/1539" rel="noreferrer" target="_blank">https://fedorahosted.org/freeipa/ticket/1539</a> but<br>
>     looks like this is an old one.<br>
><br>
>     Thanks.<br>
>     --Prashant<br>
<br>
</span>Hello Prashant,<br>
<br>
<a href="https://fedorahosted.org/freeipa/ticket/1539" rel="noreferrer" target="_blank">https://fedorahosted.org/freeipa/ticket/1539</a> seems to be the right ticket, if<br>
you want users with expired passwords to be denied, but it was not implemented<br>
yet. Help welcome!<br>
<br>
As a workaround, I assume you could simply leverage Kerberos for authentication<br>
- it does respect expired passwords. We have advise on how to integrate that to<br>
external web applications here:<br>
<br>
<a href="http://www.freeipa.org/page/Web_App_Authentication" rel="noreferrer" target="_blank">http://www.freeipa.org/page/Web_App_Authentication</a><br>
<span class="HOEnZb"><font color="#888888"><br>
Martin<br>
</font></span></blockquote></div><br></div>