OpenLDAP で ppolicy overray を有効化し、パスワードポリシーを制御出来る状態にしてあれば、ユーザに pwdAccountLockedTime 属性を 000001010000Z という値で設定することにより、該当アカウントを無効化出来るそうです。 但し、LDAP Admin 標準では pwdAccountLockedTime 属性を操作することが出来ません。 そこで LDAP Admin に SSH の公開鍵を追加するテンプレートを追加するの場合と同様、テンプレートを追加することで LDAP Admin 上から pwdAccountLockedTime を設定出来るようにします。 pwdAccountLockedTime に設定する値 man slapo-ppolicy を確認すると pwdAccountLockedTime について以下のように書かれていました。