O FreeIPA virou um grande amigo meu desde que o coloquei em uma infraestrutura para fazer todo o gerenciamento dos usuários.
O IPA é um serviço de gerenciamento de identidade que é, no fim, um serviço de diretório para o mundo Unix. Logicamente que sabemos que a Novell tentou fazer isto, mas meio que falho um pouco quando trouxe seus serviços para o Suse.
O que é legal neste serviço é que ele tem políticas de senha como tempos de vida e forçar mudanças de senha para usuários e, ainda, outros serviços super legais, como controlar até quais servidores as pessoas irão acessar no seu parque.
Evidentemente que ele não resolverá todos os problemas de gerenciamento de usuários, já, que, em muitas corporações usamos um monte de aplicativos que usam formas de autenticação diferentes, mas, isto, é discussão para outro post.
Mas uma particularidade chata do FreeIPA é que não conseguimos modificar o comportamento do vencimentos das senhas via interface padrão e aí, para mudar o comportamento do krbPasswordExpiration acaba sendo necessário usar a linha de comando.
Até porque o outro modo seria usando acesso direto ao ldap que nem sempre é tão legal pois pode causar problemas a árvore como um todo.
Lembrando que … sempre é bom dar o famoso kinit no usuário que esteja dentro do grupo de Users Administrators antes de iniciar qualquer um destes processos.
O primeiro passo é criar a permissão :
ipa permission-add “Set Password Expiry” –permissions=write –type=user –attrs=krbPasswordExpiration
Depois você deve adicionar a permissão para um certo grupo de usuários dentro do FreeIPA, no caso aqui, os “Users Administrators”.
ipa privilege-add-permission “User Administrators” –permission=“Set Password Expiry”
Agora, depois de criar um usuários ( seja via interface ou via linha de comando (ipa user-add test –setattr userPassword=test) é só usar um usuário do grupo Users Administrators para modificar o vencimento da senha :
ipa user-mod test –setattr krbPasswordExpiration=20160826073247Z
Via The Rebel