4.7. 계정 정책 플러그인 속성
일정 시간이 경과한 후 계정을 자동으로 잠그도록 계정 정책을 설정할 수 있습니다. 이는 사전 설정된 시간 동안만 유효한 임시 계정을 생성하거나 일정 시간 동안 비활성 사용자를 잠그는 데 사용할 수 있습니다.
계정 정책 플러그인 자체는 플러그인 구성 항목을 가리키는 인수에서만 허용합니다.
dn: cn=Account Policy Plugin,cn=plugins,cn=config ... nsslapd-pluginarg0: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
계정 정책 구성 항목은 전체 서버에 대해 계정 정책에 사용할 속성을 정의합니다. 대부분의 구성에서는 계정 정책 및 만료 시간을 평가하는 데 사용할 속성을 정의하지만, 구성은 하위 트리 수준 계정 정책 정의를 식별하는 데 사용할 오브젝트 클래스도 정의합니다.
dn: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config objectClass: top objectClass: extensibleObject cn: config ... attributes for evaluating accounts ... alwaysRecordLogin: yes stateattrname: lastLoginTime altstateattrname: createTimestamp ... attributes for account policy entries ... specattrname: acctPolicySubentry limitattrname: accountInactivityLimit
플러그인은 전역적으로 구성되며, 사용자 하위 트리 내에서 계정 정책 항목을 만들 수 있으며 이러한 정책을 사용자 및 서비스 클래스를 통해 역할에 적용할 수 있습니다.
예 4.2. 계정 정책 정의
dn: cn=AccountPolicy,dc=example,dc=com objectClass: top objectClass: ldapsubentry objectClass: extensibleObject objectClass: accountpolicy # 86400 seconds per day * 30 days = 2592000 seconds accountInactivityLimit: 2592000 cn: AccountPolicy
개별 사용자 및 역할 또는 CoS 템플릿 모두 계정 정책 하위 입력이 될 수 있습니다. 모든 계정 정책 하위 입력에는 모든 만료 정책에 대해 생성 및 로그인 시간이 추적됩니다.
예 4.3. 계정 정책이 있는 사용자 계정
dn: uid=scarter,ou=people,dc=example,dc=com ... lastLoginTime: 20060527001051Z acctPolicySubentry: cn=AccountPolicy,dc=example,dc=com
4.7.1. altstateattrname
계정 만료 정책은 계정의 일정 시간 기준을 기반으로 합니다. 예를 들어 비활성 정책의 경우 기본 기준이 마지막 로그인 시간인 lastLoginTime 일 수 있습니다. 그러나 계정에 로그인하지 않은 사용자와 같이 해당 속성이 항목에 존재하지 않는 경우가 있을 수 있습니다. altstateattrname 속성은 만료 시간을 평가하기 위해 서버에서 참조할 백업 속성을 제공합니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | CN=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 유효한 범위 | 모든 시간 기반 엔트리 속성 |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예제 | altstateattrname: createTimeStamp |
4.7.2. alwaysRecordLogin
기본적으로 계정에 직접 적용되는 계정 정책이 있는 항목만 - 즉 acctPolicySubentry 속성이 있는 항목 - 로그인 시간을 추적합니다. 계정 정책이 서비스 또는 역할 클래스를 통해 적용되는 경우, acctPolicySubentry 속성이 사용자 항목이 아닌 템플릿 또는 컨테이너 항목에 적용됩니다.
alwaysRecordLogin 특성은 모든 항목이 마지막 로그인 시간을 기록하도록 설정합니다. 이를 통해 CoS 및 역할을 사용하여 계정 정책을 적용할 수 있습니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | CN=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 유효한 범위 | yes | no |
| 기본값 | 제공되지 않음 |
| 구문 | DirectoryString |
| 예제 | alwaysRecordLogin: no |
4.7.3. alwaysRecordLoginAttr
Account Policy 플러그인은 alwaysRecordLoginAttr 매개변수에 설정된 특성 이름을 사용하여 이 속성의 마지막 로그인 시간을 사용자의 디렉터리 항목에 저장합니다. 자세한 내용은 Directory Server 관리 가이드의 해당 섹션을 참조하십시오.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | CN=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 유효한 범위 | 유효한 특성 이름 |
| 기본값 | stateAttrName |
| 구문 | DirectoryString |
| 예제 | alwaysRecordLoginAttr: lastLoginTime |
4.7.4. limitattrname
사용자 디렉터리의 계정 정책 항목은 계정 잠금 정책에 대한 시간 제한을 정의합니다. 이 시간 제한은 언제든지 설정할 수 있으며 정책 항목에는 시간 기반 속성이 여러 개 있을 수 있습니다. 계정 활성화 제한에 사용할 정책 내의 속성은 계정 정책 플러그인의 limitattrname 속성에 정의되어 있으며 모든 계정 정책에 전역적으로 적용됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | CN=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 유효한 범위 | 모든 시간 기반 엔트리 속성 |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예제 | limitattrname: accountInactivityLimit |
4.7.5. specattrname
계정 정책에 대한 두 가지 구성 항목이 있습니다. 즉 플러그인 구성 항목의 전역 설정 및 사용자 디렉터리 내의 항목에 yser- 또는 subtree 수준 설정이 있습니다. 계정 정책은 사용자 항목에 직접 설정하거나 CoS 또는 역할 구성의 일부로 설정할 수 있습니다. 플러그인이 계정 정책 구성 항목인 항목을 식별하는 방법은 해당 항목을 계정 정책으로 표시하는 항목의 특정 특성을 식별하는 것입니다. 플러그인 구성의 이 속성은 specattrname 입니다. 일반적으로 이 속성은 acctPolicySubentry 으로 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | CN=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 유효한 범위 | 모든 시간 기반 엔트리 속성 |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예제 | specattrname: acctPolicySubentry |
4.7.6. stateattrname
계정 만료 정책은 계정의 일정 시간 기준을 기반으로 합니다. 예를 들어 비활성 정책의 경우 기본 기준이 마지막 로그인 시간인 lastLoginTime 일 수 있습니다. 계정 정책을 평가하는 데 사용되는 기본 시간 특성은 stateattrname 특성에 설정됩니다.
| 매개변수 | 설명 |
|---|---|
| Ingress DN | CN=config,cn=Account Policy Plugin,cn=plugins,cn=config |
| 유효한 범위 | 모든 시간 기반 엔트리 속성 |
| 기본값 | 없음 |
| 구문 | DirectoryString |
| 예제 | stateattrname: lastLoginTime |
