Предлагаю нарисовать свою схему с одним булевым аттрибутом isActive, потому что нигде в ldap нет возможности просто сделать disable на пользователя. Впринципе для этих целей можно использовать /sbin/nologin, но обычно разные сервисы (например почтовые) не анализируют это поле. К тому же, в будущем имеет смысл сделать mail-only аккаунты, таким аккам не нужен posixAccount, а значит не будет и shell поля.
> фильтровать по pwdAccountLockedTime=000001010000Z (если пользователь > является обладателем такого атрибута с данным значением, то он считается > заблокированным). Получается примерно такой фильтр: (&(&(objectClass=posixAccount)(!(pwdAccountLockedTime=000001010000Z)))(uid=%n)) *** This bug has been marked as a duplicate of bug 19691 ***
(В ответ на комментарий №1) > > фильтровать по pwdAccountLockedTime=000001010000Z (если пользователь > > является обладателем такого атрибута с данным значением, то он считается > > заблокированным). > Получается примерно такой фильтр: > > (&(&(objectClass=posixAccount)(!(pwdAccountLockedTime=000001010000Z)))(uid=%n)) > Что означают эти цифры? Я имел ввиду просто галочку. Понимаю, что можно извратиться и договориться что в какое нибудь ненужное поле вбиваем заранее оговоренный символ, но это ж неправильно.
man slapo-ppolicy pwdAccountLockedTime This attribute contains the time that the user's account was locked. If the account has been locked, the password may no longer be used to authenticate the user to the directory. If pwdAccountLockedTime is set to 000001010000Z, the user's account has been permanently locked and may only be unlocked by an administrator. Это к тому что не стоит заводить некий свой аттрибут isActive. Галочка будет, не переживайте.