<div>Hello PAM experts,</div>
<div> </div>
<div>I am having a issue where PAM is not following my LDAP password policy.</div>
<div>Ideally, I'd like to have new users or password reset by administrators to be prompted to change the password upon logging in (using temporary password). However, I do not want expired accounts to be asked to change the password. How can I accomplish this?</div>


<div>In /etc/ldap.conf I have already uncommented </div>
<div> </div>
<p class="MsoPlainText" style="MARGIN: 0in 0in 0pt"><font face="Consolas" size="3">pam_lookup_policy yes</font></p>
<div class="MsoPlainText" style="MARGIN: 0in 0in 0pt"><font face="Consolas" size="3">pam_password clear</font></div>
<div class="MsoPlainText" style="MARGIN: 0in 0in 0pt"><font face="Consolas" size="3"></font> </div>
<div class="MsoPlainText" style="MARGIN: 0in 0in 0pt"><font face="Consolas" size="3">but regardless of new or expired accounts, the login will prompt to change the password.</font></div>
<div class="MsoPlainText" style="MARGIN: 0in 0in 0pt"><font face="Consolas" size="3">HELP!</font></div>
<div class="MsoPlainText" style="MARGIN: 0in 0in 0pt"><font face="Consolas" size="3"></font> </div>
<div class="MsoPlainText" style="MARGIN: 0in 0in 0pt"><font face="Consolas" size="3">thanks!</font></div>
<div class="MsoPlainText" style="MARGIN: 0in 0in 0pt"><font face="Consolas" size="3"></font> </div>
<div class="MsoPlainText" style="MARGIN: 0in 0in 0pt"><font face="Consolas" size="3"></font> </div>
<div class="MsoPlainText" style="MARGIN: 0in 0in 0pt"><font face="Consolas" size="3">--Tony</font></div>
<div class="MsoPlainText" style="MARGIN: 0in 0in 0pt"><font face="Consolas" size="3"></font> </div>
<div class="MsoPlainText" style="MARGIN: 0in 0in 0pt"><font face="Consolas" size="3">PS. I have a Sun Directory Server 6.3.1 as my LDAP server, and running RedHat 5.x on many of my clients. (Solaris workstations are having the expected behavior) </font></div>


<div> </div>