Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for Red Hat Directory Server

4.7. アカウントポリシープラグインの属性

アカウントポリシーは、一定の時間が経過した後に自動的にアカウントをロックするように設定できます。これは、事前設定した時間でのみ有効になる一時的なアカウントを作成したり、一定時間にわたって非アクティブになっているユーザーをロックするために使用できます。
Account Policy プラグイン自体は、プラグイン設定エントリーを参照する引数でのみ受け入れます。
dn: cn=Account Policy Plugin,cn=plugins,cn=config
...
nsslapd-pluginarg0: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
アカウントポリシー設定エントリーは、サーバー全体、アカウントポリシーに使用する属性を定義します。ほとんどの設定は、アカウントポリシーと有効期限の評価に使用する属性を定義しますが、この設定は、サブツリーレベルのアカウントポリシーの定義を識別するために使用するオブジェクトクラスも定義します。
dn: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
objectClass: top
objectClass: extensibleObject
cn: config

... attributes for evaluating accounts ...
alwaysRecordLogin: yes
stateattrname: lastLoginTime
altstateattrname: createTimestamp

... attributes for account policy entries ...
specattrname: acctPolicySubentry
limitattrname: accountInactivityLimit
プラグインがグローバルに設定される 1 つは、ユーザーサブツリー内でアカウントポリシーエントリーを作成し、これらのポリシーをユーザーとサービスのクラスを使用してロールに適用できます。

例4.2 アカウントポリシー定義

dn: cn=AccountPolicy,dc=example,dc=com
objectClass: top
objectClass: ldapsubentry
objectClass: extensibleObject
objectClass: accountpolicy
# 86400 seconds per day * 30 days = 2592000 seconds
accountInactivityLimit: 2592000
cn: AccountPolicy
個々のユーザーとロールまたは CoS テンプレートの両方のエントリーは、アカウントポリシーのサブエントリーになります。すべてのアカウントポリシーサブエントリーには、有効期限ポリシーに対して追跡される作成およびログイン時間があります。

例4.3 アカウントポリシーを含むユーザーアカウント

dn: uid=scarter,ou=people,dc=example,dc=com
...
lastLoginTime: 20060527001051Z
acctPolicySubentry: cn=AccountPolicy,dc=example,dc=com

4.7.1. altstateattrname

アカウントの有効期限ポリシーは、アカウントのいくつかの時間基準に基づいています。たとえば、非アクティブポリシーの場合、主要な基準は最終ログイン時刻 lastLoginTime になります。ただし、自分のアカウントにログインしていないユーザーなど、その属性がエントリーに存在しないインスタンスがある場合があります。altstateattrname 属性は、有効期限を評価するために参照するサーバーのバックアップ属性を提供します。
パラメーター 説明
エントリー DN cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
有効な範囲 時間ベースのエントリー属性
デフォルト値 なし
構文 DirectoryString
altstateattrname: createTimeStamp