<html>
<head>
<style>
body {
  font-family: Verdana, sans-serif;
  font-size: 0.8em;
  color:#484848;
}
h1, h2, h3 { font-family: "Trebuchet MS", Verdana, sans-serif; margin: 0px; }
h1 { font-size: 1.2em; }
h2, h3 { font-size: 1.1em; }
a, a:link, a:visited { color: #2A5685;}
a:hover, a:active { color: #c61a1a; }
a.wiki-anchor { display: none; }
hr {
  width: 100%;
  height: 1px;
  background: #ccc;
  border: 0;
}
.footer {
  font-size: 0.8em;
  font-style: italic;
}
</style>
</head>
<body>
Issue #346 has been updated by Terry McMahon.

<ul>

</ul>

<p>Hi,</p>


        <p>It turns out the method that I used to fileter disabled accounts was, well, rubbish. That method only excluded accounts that were disabled BUT with no other attribute set.  This means that an account that has "Password not required" and was also disabled could still be reset.</p>


        <p>The correct search filter is</p>


        <p>$ldap_filter = (&#38;(objectClass=user)(sAMAccountName={login})(!(userAccountControl:1.2.840.113556.1.4.803:=2)));</p>


        <p>Which is a bit ugly and not really readable but it does work correctly by doing a bitwise compare.  It's all explained here <a class="external" href="http://support.microsoft.com/kb/26918">http://support.microsoft.com/kb/26918</a> butto be honest, that page isn't very readable either.</p>
<hr />
<h1><a href="http://tools.lsc-project.org/issues/346">Bug #346: DIsabled accounts</a></h1>

<ul>
<li>Author: Terry McMahon</li>
<li>Status: Closed</li>
<li>Priority: Normal</li>
<li>Assigned to: Clément OUDOT</li>
<li>Category: Self Service Password</li>
<li>Target version: self-service-password-0.7</li>

</ul>

<p>If an account is disabled it can still have its password reset and it gives no warning to a user that the account still will not work.  This can be changed so that the user is given the same error as when an account is not found by changing the LDAP filter in config.inc.php to that shown below.</p>


        <p>$ldap_filter = ”(&#38;(objectClass=user)(sAMAccountName={login})(!(userAccountControl=514)))”;</p>


<hr />
<span class="footer"><p>You have received this notification because you have either subscribed to it, or are involved in it.<br />To change your notification preferences, please click here: <a class="external" href="http://tools.lsc-project.org/my/account">http://tools.lsc-project.org/my/account</a></p></span>
</body>
</html>