検索
サポートコンソール開発者トライアルの開始お問い合わせ

14.2. コマンドラインでパスワードベースのアカウントロックアウトポリシーの設定

download PDF

無効なパスワードでログインの繰り返しバインド試行をブロックするには、パスワードベースのアカウントのロックアウトポリシーを設定します。

重要

設定された最大試行に到達するか、超過した場合に Directory Server がアカウントをロックするかどうかの動作は、レガシーパスワードポリシーの設定によって異なります。

手順

  1. オプション: レガシーパスワードポリシーを有効または無効にするかどうかを特定します。 

    # dsconf -D "cn=Directory Manager" ldap://server.example.com config get passwordLegacyPolicy
passwordLegacyPolicy: on

  2. パスワードのロックアウトポリシーを有効にし、失敗の最大数を 2 に設定します。 

    # [command]`dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwdlockout on --pwdmaxfailures=2

    レガシーパスワードポリシーを有効にすると、3 番目のバインド試行に失敗した後に、Directory Server はアカウントをロックします (--pwdmaxfailures パラメーターの値 + 1)。

    dsconf pwpolicy set コマンドは以下のパラメーターをサポートします。

    • --pwdlockout: アカウントロックアウト機能を有効または無効にします。デフォルト: off

    • --pwdmaxfailures: Directory Server がアカウントをロックするまでに許可されるバインド試行の最大数を設定します。デフォルト: 3

      従来のパスワードポリシー設定が有効な場合は、このロックアウトが後で試行されることに注意してください。デフォルト: 3

    • --pwdresetfailcount: Directory Server がユーザーのエントリーの passwordRetryCount 属性をリセットするまでの時間を秒単位で設定します。デフォルト: 600 秒 (10 分)
    • --pwdlockoutduration: アカウントがロックされる時間を秒単位で設定します。--pwdunlock パラメーターを off に設定すると、このパラメーターは無視されます。デフォルト: 3600 秒 (1 時間)
    • --pwdunlock: 特定の時間が経過するとロックされたアカウントをアンロックするか、管理者が手動でアンロックするまで、無効になっているかを有効または無効にします。デフォルト: on

検証

  • --pwdmaxfailures パラメーターに設定した値よりも 2 回無効なパスワードを使用したバインドを試みます。 

    # ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49)

# ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49)

# ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49)

# ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Constraint violation (19)
        additional info: Exceed password retry limit. Please try later.

    レガシーパスワードを有効にすると、Directory Server は制限を超えた後にアカウントをロックし、さらに ldap_bind: Constraint violation(19) エラーでブロックされます。

関連情報

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.