16.2. 配置 Directory Server 以复制帐户锁定属性

如果您使用一个帐户锁定策略或密码策略,它会更新 passwordRetryCount、RetryCountResetTimeaccountUnlockTime 属性,将 Directory Server 配置为复制这些属性,以便它们的值在所有服务器中相同。

对复制拓扑中的所有供应商执行此步骤。

前提条件

  • 您已经配置了帐户锁定策略或密码策略,用于更新一个或多个上述属性。
  • 您可以在复制环境中使用 Directory 服务器。

流程

  1. 启用密码策略属性复制: 

    # dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwdisglobal="on"

  2. 如果使用部分复制,显示复制中排除的属性列表: 

    # dsconf -D "cn=Directory Manager" ldap://server.example.com repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"

    使用默认设置时,不会显示输出,Directory 服务器复制帐户锁定属性。但是,如果命令返回排除属性列表,如下例所示,请验证属性列表: 

    nsDS5ReplicatedAttributeList: (objectclass=*) $ EXCLUDE accountUnlockTime passwordRetryCount retryCountResetTime example1 example2

    在本例中,帐户UnlockTimepasswordRetryCountretryCountResetTime lockout 策略属性不包括在复制中,以及其他属性。

  3. 如果上一命令的输出列出了任何帐户锁定属性,请更新部分复制设置,使其只包含 lockout 策略属性以外的属性: 

    # dsconf -D "cn=Directory Manager" ldap://server.example.com repl-agmt set --suffix "dc=example,dc=com" --frac-list "example1 example2" example-agreement

验证

  1. 尝试以具有无效密码的用户身份执行搜索: 

    # ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w "invalid-password" -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49)

  2. 显示用户的 passwordRetryCount 属性: 

    # ldapsearch -H ldap://server.example.com -D "cn=Directory Manager" -W -b "uid=example,ou=People,dc=example,dc=com" -x passwordRetryCount
...
dn: uid=example,ou=People,dc=example,dc=com
passwordRetryCount: 1
  3. 在复制拓扑的不同服务器中运行上一命令。如果 passwordRetryCount 属性的值相同,Directory 服务器会复制 属性。

其他资源