<div dir="ltr"><div><div><div>@Martin<br><br></div>The second admin is my service account. I use this account to communicate with our webapplication (it uses keytab and post/curl json to ipa). I can add users without a problem. But when it comes to changing password, the password is expired immediately.<br>
<br></div>I have only one password policy and that's the 'global_policy'. The --maxlife you mentioned only affect this policy. If I use this service account to change the user password, the policy is ignored just as stated in the ipa wiki. Even if I set the --maxlife to 200, if the password is being resetted by this first admin, then the expire date is set to 90 days or expired immediately by the second admin/service account.<br>
<br></div><div>That's why I want to know how to change this 90 days and also apply it for the service account.<br></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Sep 1, 2014 at 1:06 PM, Martin Kosek <span dir="ltr"><<a href="mailto:mkosek@redhat.com" target="_blank">mkosek@redhat.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">On 08/29/2014 10:21 AM, Zip Ly wrote:<br>
> @Martin<br>
> 1) Yes, I did executed 8.5.3 from the wiki. Is this is reason for the<br>
> systems behaviour?<br>
<br>
</div>Yes.<br>
<div class=""><br>
> if so why doesnt't it applies for both admins?<br>
<br>
</div>Because only a DN of the first admin was added. It applies only to objects<br>
bound with this DN then.<br>
<div class=""><br>
> And it<br>
> doesn't explain the 90 days, because it is not set in the tutorial.<br>
<br>
</div>90 days is the password policy defined password maximum life. You can check<br>
with "ipa pwpolicy-show [group]". This value is not defined in<br>
"cn=ipa_pwd_extop,cn=plugins,cn=config", thus not present in the docs.<br>
<div class=""><br>
> Unless<br>
> some params are left out of the wiki for some reason. I'm using windows<br>
> LDAP admin tool to browse the LDAP tree, but couln't find this param/value<br>
> so I wasn't sure if the new setting is being used. I did get a confirmation<br>
> while executing the change.<br>
<br>
</div>To set the the max password life, use "ipa pwpolicy-mod --maxlife $LIFE"<br>
command (or Web UI).<br>
<div class=""><br>
><br>
> @Dimitri<br>
> 1) Yes, there are no problems with changing your own password. There is<br>
> only something strange with the expiration lifetime when you are changing<br>
> other users (admin or non-admin) password. The expiration lifetime of a<br>
> password reset should be equal to BOTH admins like expired immediately, 90<br>
> days or the value that is set in the password policy. I prefer the value in<br>
> a password policy, because this way I have it more under control.<br>
><br>
> @Martin & @Will<br>
> 1b) Ok, I'm afraid you may say that. Most free clients like gmail, hotmail,<br>
> ebay, paypal doesn't require a password reset from time to time (yes they<br>
> may have set a very high value). So I was wondering why it isn't possible.<br>
> I know it's bad for security, but still.<br>
<br>
</div>I think the solution is to:<br>
<br>
1) Change the password policy to a very high value (even in years), as Will<br>
suggested in this thread.<br>
<br>
2) Use service accounts (service-add) with keytabs for services which do not<br>
need to change their passwords, given they authenticate with keytab which does<br>
not suffer from password complexity issues.<br>
<br>
3) Contribute to FreeIPA and make --maxlife 0 or similar mean unlimited<br>
validity (<a href="https://fedorahosted.org/freeipa/ticket/2795" target="_blank">https://fedorahosted.org/freeipa/ticket/2795</a>) :-)<br>
<div class="HOEnZb"><div class="h5"><br>
<br>
> On Thu, Aug 28, 2014 at 6:18 PM, Dmitri Pal <<a href="mailto:dpal@redhat.com">dpal@redhat.com</a>> wrote:<br>
><br>
>>  On 08/28/2014 04:18 PM, Zip Ly wrote:<br>
>><br>
>>  Hi,<br>
>><br>
>><br>
>> I'm trying to change a user password without reset.<br>
>> If I use the (primary) admin to change the password then it doesn't need a<br>
>> password reset, because the expire lifetime is 90 days.<br>
>><br>
>> But if I create a second admin, then every password change made by the<br>
>> second admin needs a password reset, because the password is expired<br>
>> immediately.<br>
>><br>
>>  1a) Does anyone knows how I can change the policy/privilege of the<br>
>> second admin so every password change doesn't require a reset? 1b) and is<br>
>> it possible to set a different expire lifetime like zero for unlimited<br>
>> lifetime?<br>
>><br>
>><br>
>> You are probably changing password for the admin himself.<br>
>> Isn't there a different flow when admin changes his own password?<br>
>><br>
>><br>
>><br>
>>  It's almost the same bugreport as<br>
>> <a href="https://fedorahosted.org/freeipa/ticket/2795" target="_blank">https://fedorahosted.org/freeipa/ticket/2795</a> but the difference is there<br>
>> should be 2 policies: one for changing your own password and another for<br>
>> resetting other users password.<br>
>><br>
>><br>
>> 2) Are there more differences in policies between the first (primary)<br>
>> admin and the second admin you just created?<br>
>><br>
>><br>
>> Kind regards,<br>
>><br>
>> Zip<br>
>><br>
>><br>
>><br>
>><br>
>><br>
>><br>
>><br>
>> --<br>
>> Thank you,<br>
>> Dmitri Pal<br>
>><br>
>> Sr. Engineering Manager IdM portfolio<br>
>> Red Hat, Inc.<br>
>><br>
>><br>
>> --<br>
>> Manage your subscription for the Freeipa-users mailing list:<br>
>> <a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
>> Go To <a href="http://freeipa.org" target="_blank">http://freeipa.org</a> for more info on the project<br>
>><br>
><br>
><br>
><br>
<br>
</div></div></blockquote></div><br></div>