<div dir="ltr"><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Tough luck! If its tricky for you (FreeIPA core developers) then its pretty much impossible to solve it for mere mortals like me !</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 11 July 2016 at 19:43, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">Prashant Bapat wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I cherrypicked the commit id 3b7d5e7543a074d7d24556cadc6c95be9871cfc6<br>
and compiled the ipa-pwd-extop slapi plugin.<br>
<br>
Now the user is denied bind. But unable to reset the password.<br>
</blockquote>
<br></span>
Right, it's a tricky problem which is why it hasn't been resolved yet. You have come full circle through the same steps we went through.<br>
<br>
rob<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
<br>
<br>
On 8 July 2016 at 13:21, Martin Kosek <<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a><br></span><span class="">
<mailto:<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>>> wrote:<br>
<br>
    On 07/07/2016 05:19 PM, Prashant Bapat wrote:<br>
    > Anyone ?!<br>
    ><br>
    > On 6 July 2016 at 22:36, Prashant Bapat <<a href="mailto:prashant@apigee.com" target="_blank">prashant@apigee.com</a> <mailto:<a href="mailto:prashant@apigee.com" target="_blank">prashant@apigee.com</a>><br></span><span class="">
    > <mailto:<a href="mailto:prashant@apigee.com" target="_blank">prashant@apigee.com</a> <mailto:<a href="mailto:prashant@apigee.com" target="_blank">prashant@apigee.com</a>>>> wrote:<br>
    ><br>
    >     Hi,<br>
    ><br>
    >     We are using FreeIPA's LDAP as the base for user authentication in a<br>
    >     different application. So far I have created a sysaccount which does the<br>
    >     lookup etc for a user and things are working as expected. I'm even able to<br>
    >     use OTP from the external app.<br>
    ><br>
    >     One problem I'm struggling to fix is the expired passwords. Is there a way<br>
    >     to deny bind to LDAP only from this application? Obviously the user would<br>
    >     need to go to IPA's web UI and reset his password there.<br>
    ><br></span>
    >     I came across this tickethttps://<a href="http://fedorahosted.org/freeipa/ticket/1539" rel="noreferrer" target="_blank">fedorahosted.org/freeipa/ticket/1539</a> but<span class=""><br>
    >     looks like this is an old one.<br>
    ><br>
    >     Thanks.<br>
    >     --Prashant<br>
<br>
    Hello Prashant,<br>
<br>
    <a href="https://fedorahosted.org/freeipa/ticket/1539" rel="noreferrer" target="_blank">https://fedorahosted.org/freeipa/ticket/1539</a> seems to be the right<br>
    ticket, if<br>
    you want users with expired passwords to be denied, but it was not<br>
    implemented<br>
    yet. Help welcome!<br>
<br>
    As a workaround, I assume you could simply leverage Kerberos for<br>
    authentication<br>
    - it does respect expired passwords. We have advise on how to<br>
    integrate that to<br>
    external web applications here:<br>
<br>
    <a href="http://www.freeipa.org/page/Web_App_Authentication" rel="noreferrer" target="_blank">http://www.freeipa.org/page/Web_App_Authentication</a><br>
<br>
    Martin<br>
<br>
<br>
<br>
<br>
</span></blockquote>
<br>
</blockquote></div><br></div>