16.2. アカウントロックアウト属性をレプリケートするための Directory Server の設定

passwordRetryCountretryCountResetTime、または accountUnlockTime 属性を更新するアカウントロックアウトポリシーまたはパスワードポリシーを使用する場合は、これらの属性の値がすべてのサーバーで同じになるように Directory Server を設定してこれらの属性をレプリケートします。

この手順は、レプリケーショントポロジー内のすべてのサプライヤーで実行してください。

前提条件

  • 前述の属性を 1 つ以上更新するアカウントロックアウトポリシーまたはパスワードポリシーを設定している。
  • Directory Server をレプリケーション環境で使用している。

手順

  1. パスワードポリシー属性のレプリケーションを有効にします。

    # dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwdisglobal="on"
  2. 一部レプリケーションを使用する場合は、レプリケーションから除外される属性のリストを表示します。

    # dsconf -D "cn=Directory Manager" ldap://server.example.com repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"

    デフォルト設定を使用すると、出力は表示されず、Directory Server はアカウントロックアウト属性をレプリケートします。ただし、次の例のように、除外される属性のリストが返された場合は、属性リストを確認してください。

    nsDS5ReplicatedAttributeList: (objectclass=*) $ EXCLUDE accountUnlockTime passwordRetryCount retryCountResetTime example1 example2

    この例では、accountUnlockTimepasswordRetryCount、および retryCountResetTime ロックアウトポリシー属性が、その他の 2 つの属性とともにレプリケーションから除外されます。

  3. 直前のコマンドの出力にアカウントロックアウト属性が表示された場合は、ロックアウトポリシー属性以外の属性のみを含めるように一部レプリケーション設定を更新します。

    # dsconf -D "cn=Directory Manager" ldap://server.example.com repl-agmt set --suffix "dc=example,dc=com" --frac-list "example1 example2" example-agreement

検証

  1. 無効なパスワードを使用して、ユーザーとして検索の実行を試みます。

    # ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w "invalid-password" -b "dc=example,dc=com" -x
    ldap_bind: Invalid credentials (49)
  2. ユーザーの passwordRetryCount 属性を表示します。

    # ldapsearch -H ldap://server.example.com -D "cn=Directory Manager" -W -b "uid=example,ou=People,dc=example,dc=com" -x passwordRetryCount
    ...
    dn: uid=example,ou=People,dc=example,dc=com
    passwordRetryCount: 1
  3. レプリケーショントポロジー内の別のサーバーで直前のコマンドを実行します。passwordRetryCount 属性の値が同じである場合、Directory Server は属性をレプリケートします。