7.5. アカウントロックアウトポリシーの設計
アカウントロックアウトポリシーは、ディレクトリーへの不正なアクセスや危険なアクセスを防ぐことで、ディレクトリーデータとユーザーパスワードの両方を保護することができます。Directory Server がアカウントをロックまたは 非アクティブ化 すると、そのユーザーはディレクトリーにバインドできなくなり、認証操作は失敗します。
アカウントの非アクティブ化を実装するには、nsAccountLock
操作属性を使用します。エントリーに true
の値を持つ nsAccountLock
属性が含まれている場合、サーバーはそのアカウントによるバインド試行を拒否します。
Directory Server は、特定の自動基準に基づいてアカウントロックアウトポリシーを定義できます。
Directory Server は、アカウントロックアウトポリシーをパスワードポリシーに関連付けることができます。ユーザーが適切な認証情報を使用して指定された回数までのログインに失敗すると、管理者が手動でロックを解除するまで、Directory Server はアカウントをロックします。
このようなポリシーは、ユーザーパスワードを繰り返し推測してディレクトリーに侵入しようとする悪意のあるアクターから保護します。
Directory Server は、一定の時間が経過するとアカウントをロックできます。このポリシーを使用すると、アカウントが作成された時間に基づいて時間制限付きのアクセス権を持つ、インターン、学生、季節労働者などの一時ユーザーのアクセスを制御できます。あるいは、前回のログイン時から一定時間アカウントが非アクティブ化されている場合に、ユーザーアカウントを非アクティブ化するアカウントポリシーを作成することもできます。
アカウントポリシープラグインを使用して、時間ベースのアカウントロックアウトポリシーを実装し、ディレクトリーのグローバル設定を行います。有効期限とタイプが異なる複数のアカウントポリシーサブエントリーを作成し、サービスクラスを通じてこれらのポリシーをエントリーに適用できます。
関連情報