14.2. コマンドラインでパスワードベースのアカウントロックアウトポリシーの設定
無効なパスワードでログインの繰り返しバインド試行をブロックするには、パスワードベースのアカウントのロックアウトポリシーを設定します。
設定された最大試行に到達するか、超過した場合に Directory Server がアカウントをロックするかどうかの動作は、レガシーパスワードポリシーの設定によって異なります。
手順
オプション: レガシーパスワードポリシーを有効または無効にするかどうかを特定します。
#
dsconf -D "cn=Directory Manager" ldap://server.example.com config get passwordLegacyPolicy
passwordLegacyPolicy: onパスワードのロックアウトポリシーを有効にし、失敗の最大数を
2
に設定します。#
[command]`dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwdlockout on --pwdmaxfailures=2
レガシーパスワードポリシーを有効にすると、3 番目のバインド試行に失敗した後に、Directory Server はアカウントをロックします (
--pwdmaxfailures
パラメーターの値 + 1)。dsconf pwpolicy set
コマンドは以下のパラメーターをサポートします。-
--pwdlockout
: アカウントロックアウト機能を有効または無効にします。デフォルト:off
--pwdmaxfailures
: Directory Server がアカウントをロックするまでに許可されるバインド試行の最大数を設定します。デフォルト:3
従来のパスワードポリシー設定が有効な場合は、このロックアウトが後で試行されることに注意してください。デフォルト:
3
-
--pwdresetfailcount
: Directory Server がユーザーのエントリーのpasswordRetryCount
属性をリセットするまでの時間を秒単位で設定します。デフォルト:600
秒 (10 分) -
--pwdlockoutduration
: アカウントがロックされる時間を秒単位で設定します。--pwdunlock
パラメーターをoff
に設定すると、このパラメーターは無視されます。デフォルト:3600
秒 (1 時間) -
--pwdunlock
: 特定の時間が経過するとロックされたアカウントをアンロックするか、管理者が手動でアンロックするまで、無効になっているかを有効または無効にします。デフォルト:on
-
検証
--pwdmaxfailures
パラメーターに設定した値よりも 2 回無効なパスワードを使用したバインドを試みます。#
ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49) #ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49) #ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49) #ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Constraint violation (19) additional info: Exceed password retry limit. Please try later.レガシーパスワードを有効にすると、Directory Server は制限を超えた後にアカウントをロックし、さらに
ldap_bind: Constraint violation(19)
エラーでブロックされます。
関連情報