4.3. 使用 Web 控制台配置基于密码的帐户锁定策略

要阻止带有无效密码的登录重复绑定尝试,请配置基于密码的帐户锁定策略。

重要

Directory 服务器在达到时或超过配置的最大尝试时是否锁定帐户取决于传统密码策略设置。

先决条件

  • 在 web 控制台中登录到实例。

流程

  1. 可选:识别旧的密码策略是启用还是禁用: 

    # dsconf -D "cn=Directory Manager" ldap://server.example.com config get passwordLegacyPolicy
passwordLegacyPolicy: on

    此设置在 web 控制台中不可用。

  2. 导航到 DatabasePassword PoliciesGlobal PolicyAccount Lockout
  3. 选择 "启用帐户锁定 "。

  4. 配置锁定设置:

    • 锁定帐户的失败登录数量 :在 Directory 服务器锁定帐户前设置允许的尝试的最大失败尝试数。
    • time Until Failure Count Resets :在 Directory Server 重置用户条目中的 passwordRetryCount 属性之前设置时间(以秒为单位)。
    • 时间不锁定 :设置帐户锁定的时间(以秒为单位)。如果您永久禁用 Do Not Lockout Account,则此参数将被忽略。
    • 不要锁定帐户 :启用或禁用锁定帐户在一定时间后是否应解锁,或者保持禁用状态,直到管理员手动解锁它们。
  5. Save

验证

  • 尝试绑定,使用无效密码两次超过您在 Number of Failed Logins 中设定的值,即锁定帐户

    # ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49)

# ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49)

# ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49)

# ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Constraint violation (19)
        additional info: Exceed password retry limit. Please try later.

    启用旧的密码后,Directory 服务器会在超过限制后锁定帐户,并使用 ldap_bind: Constraint violation(19) 错误阻止进一步尝试。

其他资源