研究在openldap中实现posix用户的锁定

目前锁定用户能够达成的效果是禁止用户在portal中登录, 但是用户仍然可以在linux中进行登录.
调研一下AccountDisable属性

AccountDisable属性属于AD下的解决方案

在linux中没有比较优雅的办法实现锁定posixAccount

posixAccount和shadowAccount 以及nslcd.conf中的mapT参数均没有相关的说明

替代方案的问题

目前有以下替代方案以下替代方案都有一定的问题, 可以作为参考

1. 直接改用户用户密码从而让用户无法登录到系统中, 缺点是只能阻挡密码形式认证, ssh免密形式无法拦截
2. 修改loginShell为/usr/sbin/nologin, 缺点是对于远程桌面连接场景则可能覆盖不到
3. FreeIPA中有ipa user-disable命令, 但不是主流的解决方案, 因为我们的ldap是openldap

备注

• ACCOUNTDISABLE
• PosixAccount
• ShadowAccount
• nslcd.conf(5) - Linux man page
• How to disable User Accounts on Linux System
• WHAT IS SHADOW ACCOUNT LDAP?
• Understanding the /etc/shadow File
• FreeIPA > Enabling and Disabling User Accounts