第7章 ユーザーとロールの手動による非アクティブ化
Directory Server では、単一のユーザーアカウントまたは一連のアカウントを一時的に非アクティブ化できます。アカウントが非アクティブになると、ユーザーがディレクトリーにバインドできなくなります。認証操作は失敗します。
7.1. コマンドラインを使用したユーザーとロールの非アクティブ化とアクティブ化
コマンドラインまたは操作属性を使用して、ユーザーとロールを手動で非アクティブ化できます。
ロールは、静的グループと動的グループの両方として動作します。グループを使用すると、エントリーはメンバーとしてグループエントリーに追加されます。ロールを使用すると、role 属性がエントリーに追加され、その属性はロールエントリー内のメンバーを自動的に識別するために使用されます。
ユーザーとロールは、同じ手順で非アクティブ化します。ただし、ロールを非アクティブにした場合、ロールエントリー自体ではなくロールのメンバーが非アクティブになります。
ユーザーとロールを非アクティブ化するには、コマンドラインで次のコマンドを実行します。
ユーザーアカウントを非アクティブ化する場合:
# dsidm -D "cn=Directory Manager" ldap://server.example.com -b "dc=example,dc=com" account lock "uid=user_name,ou=People,dc=example,dc=com"ロールを非アクティブ化する場合:
# dsidm -D "cn=Directory Manager" ldap://server.example.com -b "dc=example,dc=com" role lock "cn=Marketing,ou=People,dc=example,dc=com"
ユーザーとロールをアクティブ化するには、コマンドラインで次のコマンドを実行します。
ユーザーアカウントをアクティブ化する場合:
# dsidm -D "cn=Directory Manager" ldap://server.example.com -b "dc=example,dc=com" account unlock "uid=user_name,ou=People,dc=example,dc=com"ロールをアクティブ化する場合:
# dsidm -D "cn=Directory Manager" ldap://server.example.com -b "dc=example,dc=com" role unlock "cn=Marketing,ou=People,dc=example,dc=com"
必要に応じて、コマンドを使用する代わりに、操作属性 nsAccountLock をエントリーに追加できます。エントリーに値が true の nsAccountLock 属性が含まれている場合、サーバーはバインドを拒否します。
