14.2. 使用命令行配置基于密码的帐户锁定策略
要块使用无效密码的登录绑定尝试,请配置基于密码的帐户锁定策略。
重要
Directory 服务器在到达或超过配置的最大尝试时锁定帐户的行为取决于旧的密码策略设置。
流程
可选:识别是否启用或禁用旧密码策略:
#
dsconf -D "cn=Directory Manager" ldap://server.example.com config get passwordLegacyPolicy
passwordLegacyPolicy: on启用 password lockout 策略,并将最大故障数设置为
2:
#
[command]`dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwdlockout on --pwdmaxfailures=2
启用传统密码策略时,Directory 服务器会在第三个尝试绑定失败后锁定帐户(
--pwdmaxfailures
参数的值 + 1)。dsconf pwpolicy set
命令支持以下参数:-
--pwdlockout
:启用或禁用帐户锁定功能。默认:off
。 --pwdmaxfailures
:设置在目录服务器锁定帐户前允许尝试的最大值。默认:3
。请注意,如果启用了传统密码策略设置,则稍后会尝试锁定。默认:
3
。-
--pwdresetfailcount
:设置目录服务器在用户条目中重置passwordRetryCount
属性前的时间(以秒为单位)。默认:600
秒(10 分钟)。 -
--pwdlockoutduration
:设置已锁定帐户的时间(以秒为单位)。如果将--pwdunlock
参数设置为off
,则此参数将被忽略。默认:3600
秒(1 小时)。 -
--pwdunlock
:启用或禁用在一定时间后是否应解锁锁定的帐户,或保持禁用状态,直到管理员手动解锁为止。默认:上的
。
-
验证
尝试绑定使用无效密码两次,超过您在
--pwdmaxfailures
参数中设置的值:#
ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49) #ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49) #ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49) #ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Constraint violation (19) additional info: Exceed password retry limit. Please try later.启用旧密码后,Directory 服务器在超过限制后锁定帐户,而进一步的尝试将使用
ldap_bind: Constraint violation (19)
错误阻止。
其他资源