<div dir="ltr">I've seen some different behaviour. I've had errors for users (including the admin user) trying to log in with possibly an expired password. Both webui and ssh would fail, but kinit would work. I'm not sure if this is related to the password's expiration or the account's expiration. My /var/log/secure has messages like "pam_sss(sshd:auth): received for user uname: 13 (User account has expired)". Is there a setting for default expiration of user accounts ? I don't remember setting it anywhere. </div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 24, 2016 at 8:13 AM, David Kupka <span dir="ltr"><<a href="mailto:dkupka@redhat.com" target="_blank">dkupka@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 21/10/16 15:17, Brian Candler wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Question: when a password expires, does it remain in a usable state in<br>
the database indefinitely? For example, if someone comes along a year<br>
after their password has expired, can they still login once with that<br>
password?<br>
<br>
This is actually what I want, but I just want to confirm there's not<br>
some sort of secondary threshold which means that an expired password is<br>
not usable X days after it has expired.  Or, if there is such a<br>
secondary threshold, where I can find it.<br>
<br>
The scenario is a RADIUS server for wifi which reads NTLM password<br>
hashes out of the database to authenticate - this continues to work<br>
after expiry. However I want users to be able to do a self-reset later<br>
if and when they want to.<br>
<br>
Thanks,<br>
<br>
Brian.<br>
<br>
</blockquote>
<br></span>
Hello Brian!<br>
<br>
AFAIK, it will work. Your RADIUS server will retrieve the hash from LDAP and do the validation locally. So FreeIPA has no way to say the password is expired.<br>
When the user tries to obtain Kerberos ticket he will be forced to change the password and NTLM hash will be also regenerated.<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
David Kupka</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
-- <br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/mailman<wbr>/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</div></div></blockquote></div><br></div>