<div dir="ltr"><div>If each IPA server tracks time of last auth independently, then one ipa server might disable an inactive account. But that account might be active on another servers. In a fail over case where the server that that account normally uses is down, the user would not have a usable account. <br><br></div>Is it possible to use the account policy plugin?  Or is there a way to track time of last auth that is replicated.  I need to have accounts that have been inactive for 90 days automatically disabled.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 21, 2016 at 11:22 AM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Bob wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
We currently have 18 master ODSEE servers that we use to provide authentication services to both Redhat, SuSE, and Solaris systems. We are looking to add IPA servers to<br>
environment.<br>
<br>
We have a requirement to track time of last authentication.  With ODSEE, time of last authentication tracking is enabled with this:<br>
<br></span>
*dsconf set-server-prop pwd-keep-last-auth-time-enabled:on*<span class=""><br>
<br>
<br>
Looking at the Redhat DS 9 documentation, I see an account policy plug-in:<br>
<br>
<br>
cn=Account Policy Plugin,cn=plugins,cn=config<br>
<br></span>
Looking <a href="http://thefreeipa.org" rel="noreferrer" target="_blank">thefreeipa.org</a> <<a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a>>  pages on the server plugins, I do not see the account policy plugin listed.<span class=""><br>
<a href="http://www.freeipa.org/page/Directory_Server" rel="noreferrer" target="_blank">http://www.freeipa.org/page/Directory_Server</a><br>
<br>
Looking in the directory DT of a "VERSION: 4.2.0, API_VERSION: 2.156" installed on Redhat 7, I do see the account policy plugin in the config tree.<br>
<br>
<br>
Is the use of this account policy plugin supported with IPA? Should it work?<br>
</span></blockquote>
<br>
IPA has its own password policy. You can get last successful authentication via krbLastSuccessfulAuth<br>
<br>
Don't let the attribute name mislead you, it is updated on every authentication.<br>
<br>
Also note that this is per-IPA master. It is not replicated.<span class="HOEnZb"><font color="#888888"><br>
<br>
rob<br>
<br>
</font></span></blockquote></div><br></div>