Centos 7, openldap 2.4.44 (slapd)

настроил политику наложения паролей ppolicy. мне необходимо сделать так, чтобы юзер не смог изменить свой пароль более 1 раза (чтобы смог сменить пароль только один раз, после чего такой возможности у него не было бы). может кто-нибудь реализовывал подобно и сможет подсказать какими атрибутами/политиками я смогу добиться такого ограничения? в документации по ppolicy я не нашел атрибута/директивы, подходящих для такого кейса

мой кейс это что-то вроде метода подписки:

1. создается учетная запись юзеру
2. атрибутом политики pwdMaxAge задается время жизни пароля учетки (тем самым и ограничивается срок действия учетной записи, т.к. в таком кейсе просроченный пароль=неработающая учетка) 2.1 но ограничение жизни пароля в атрибуте pwdMaxAge можно обойти просто пересоздав пароль заново (сменить), и отсчет pwdMaxAge начнется сначала.
3. после создания учетки юзеру направляется пароль, который он должен будет сменить на свой. 3.1 для смены пароля юзерами, был развернут self-service-password (https://github.com/ltb-project/self-service-password) - где юзеры могут его сменить введя присланный им пароль как «старый» и задав себе новый свой пароль - в этот момент обнуляются политики паролей pwdMaxAge, это ок.

теперь проблема: пользователь может даже через пол года войти на веб-форму и сменить себе пароль, тем самым обнулив отсчет pwdMaxAge и продлив срок действия пароля и учетной записи. поэтому и хочу ограничить количество попыток смены пароля до одной: когда юзер меняет присланный ему пароль на свой из пункта 3.1 и чтобы после этого не смог сменить пароль еще раз

всем привет!

у меня есть elastic и для авторизации в Kibana посредством LDAP пытаюсь реализовать ограничение работы учетной записи в LDAP по таймеру, т.е. срок действия учетной записи выставить на 1 год.

как я могу это реализовать? вариант с ppolicy (pwdPolicy, pwdMaxAge) не подходит, потому что учетных записей будет очень много (сотни) и у всех будет разная дата отключения аккаунта. соответственно, для каждой такой учетной записи придется создавать и отдельную политику паролей с последующей ручной привязкой этой политики к учетной записи. это не подходит, потому что требует очень много манипуляций для простого отключения учетной записи.

нашел еще вариант с атрибутом shadowExpire, но он почему-то не работает (выставлял его значения и как -1, и как 0, и как 1 и т.д.) - учетная запись в ldap все равно остается активной. документации по shadowAccount и shadowExpitr у почти нет.

какие могут быть еще варианты реализации отключения учетной записи юзера по истечению определенного времени?

у меня openLdap 2.4.44