16.2. 配置 Directory Server 以复制帐户锁定属性
如果您使用一个帐户锁定策略或密码策略,它会更新 passwordRetryCount
、RetryCountResetTime
或 accountUnlockTime
属性,将 Directory Server 配置为复制这些属性,以便它们的值在所有服务器中相同。
对复制拓扑中的所有供应商执行此步骤。
前提条件
- 您已经配置了帐户锁定策略或密码策略,用于更新一个或多个上述属性。
- 您可以在复制环境中使用 Directory 服务器。
流程
启用密码策略属性复制:
#
dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwdisglobal="on"
如果使用部分复制,显示复制中排除的属性列表:
#
dsconf -D "cn=Directory Manager" ldap://server.example.com repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"
使用默认设置时,不会显示输出,Directory 服务器复制帐户锁定属性。但是,如果命令返回排除属性列表,如下例所示,请验证属性列表:
nsDS5ReplicatedAttributeList: (objectclass=*) $ EXCLUDE accountUnlockTime passwordRetryCount retryCountResetTime example1 example2
在本例中,
帐户UnlockTime
、passwordRetryCount
和retryCountResetTime
lockout 策略属性不包括在复制中,以及其他属性。如果上一命令的输出列出了任何帐户锁定属性,请更新部分复制设置,使其只包含 lockout 策略属性以外的属性:
#
dsconf -D "cn=Directory Manager" ldap://server.example.com repl-agmt set --suffix "dc=example,dc=com" --frac-list "example1 example2" example-agreement
验证
尝试以具有无效密码的用户身份执行搜索:
#
ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w "invalid-password" -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49)显示用户的
passwordRetryCount
属性:#
ldapsearch -H ldap://server.example.com -D "cn=Directory Manager" -W -b "uid=example,ou=People,dc=example,dc=com" -x passwordRetryCount
... dn: uid=example,ou=People,dc=example,dc=com passwordRetryCount: 1-
在复制拓扑的不同服务器中运行上一命令。如果
passwordRetryCount
属性的值相同,Directory 服务器会复制 属性。
其他资源