9.5. アカウントロックアウトポリシーの設計

アカウントロックアウトポリシーは、ディレクトリーへの不正なアクセスや危険なアクセスを防ぐことで、ディレクトリーデータとユーザーパスワードの両方を保護することができます。アカウントがロックされたり、非アクティブ化 されたりすると、そのユーザーはディレクトリーにバインドできなくなり、認証操作は失敗します。
アカウントの非アクティブ化は、操作属性 nsAccountLock で実装されます。値が truensAccountLock 属性がエントリーに含まれる場合、サーバーはそのアカウントによるバインドの試行を拒否します。
アカウントロックアウトポリシーは、特定の自動基準に基づいて定義できます。
  • アカウントロックアウトポリシーをパスワードポリシー (「パスワードポリシーの設計」) に関連付けることができます。ユーザーが一定回数以上、適切な認証情報でログインできない場合、管理者が手動でロックを解除するまでアカウントがロックされます。
    これにより、ユーザーのパスワードを繰り返し推測してディレクトリーに侵入しようとするクラッカーから守ることができます。
  • 一定の時間が経過すると、アカウントをロックすることができます。これは、アカウントが作成された時間に基づいて、時間制限のあるアクセス権を持つ、インターン、学生、季節労働者などの一時的なユーザーのアクセスを制御するために使用できます。または、アカウントが最後のログイン時刻から一定期間非アクティブの場合に、ユーザーアカウントを非アクティブにするアカウントポリシーを作成することもできます。
    タイムベースのアカウントロックアウトポリシーは、ディレクトリーのグローバル設定を行う Account Policy プラグインによって定義されます。複数のアカウントポリシーサブエントリーを作成して、異なる有効期限やタイプを設定し、サービスクラスを通じてエントリーに適用することができます。
さらに、1 つのユーザーアカウントまたは (ロールを介した) 一連のアカウントを手動で非アクティブ化することができます。
注記
ロールを非アクティブ化すると、そのロールのすべてのメンバーが非アクティブ化され、ロールエントリー自体は非アクティブ化されません。ロールの詳細は、「ロールの概要」 を参照してください。