Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

3.10. レプリケーション環境内のすべてのサーバー間でアカウントロックアウト属性を同期する

Directory Server は、アカウントのロックアウト属性をローカルで保存します。複数のサーバーがある環境では、攻撃者がアカウントのロックアウト数に達するまで 1 台のサーバーへのログインを試み、その後さらに他のサーバーにログインを試みることを防ぐために、この属性のレプリケーションを設定してください。

Directory Server は、パスワードおよびアカウントのロックアウトポリシーを次のように適用します。

  • パスワードポリシーは、データプロバイダーに適用されます。
  • アカウントロックアウトポリシーは、レプリケーショントポロジー内のすべてのサーバーに適用されます。

Directory Server は次パスワードポリシー属性をレプリケートします。

  • passwordMinAge
  • passwordMaxAge
  • passwordExp
  • passwordWarning

ただし、デフォルトでは、Directory Server は以下に示す一般的なアカウントロックアウト属性をレプリケートしません。

  • passwordRetryCount
  • retryCountResetTime
  • accountUnlockTime

攻撃者がアカウントのロックアウト数に達するまで 1 台のサーバーへのログインを試み、その後さらに他のサーバーにログインを試みることを防ぐには、これらのアカウントロックアウト属性をレプリケートします。

3.10.2. アカウントロックアウト属性をレプリケートするための Directory Server の設定
リンクのコピー

passwordRetryCountretryCountResetTime、または accountUnlockTime 属性を更新するアカウントロックアウトポリシーまたはパスワードポリシーを使用する場合は、これらの属性の値がすべてのサーバー間で同じになるように、これらの属性をレプリケートするように Directory Server を設定します。

この手順は、レプリケーショントポロジー内のすべてのサプライヤーで実行してください。

前提条件

  • 前述の属性を 1 つ以上更新するアカウントロックアウトポリシーまたはパスワードポリシーを設定している。
  • Directory Server をレプリケーション環境で使用している。

手順

  1. パスワードポリシー属性のレプリケーションを有効にします。 

    # dsconf <instance_name> pwpolicy set --pwdisglobal="on"
    Copy to Clipboard Toggle word wrap

  2. 一部レプリケーションを使用する場合は、レプリケーションから除外される属性のリストを表示します。 

    # dsconf <instance_name> repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"dsconf <instance_name> repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"dsconf <instance_name> repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"dsconf <instance_name> repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"dsconf <instance_name> repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"dsconf <instance_name> repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"dsconf <instance_name> repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"
    Copy to Clipboard Toggle word wrap

    デフォルト設定を使用すると、出力は表示されず、Directory Server はアカウントロックアウト属性をレプリケートします。ただし、次の例のように、除外される属性のリストが返された場合は、属性リストを確認してください。 

    nsDS5ReplicatedAttributeList: (objectclass=*) $ EXCLUDE accountUnlockTime passwordRetryCount retryCountResetTime example1 example2
    Copy to Clipboard Toggle word wrap

    この例では、accountUnlockTimepasswordRetryCount、および retryCountResetTime ロックアウトポリシー属性が、その他の 2 つの属性とともにレプリケーションから除外されます。

  3. 直前のコマンドの出力にアカウントロックアウト属性が表示された場合は、ロックアウトポリシー属性以外の属性のみを含めるように一部レプリケーション設定を更新します。 

    # dsconf <instance_name> repl-agmt set --suffix "dc=example,dc=com" --frac-list "example1 example2" example-agreement
    Copy to Clipboard Toggle word wrap

検証

  1. 無効なパスワードを使用して、ユーザーとして検索の実行を試みます。 

    # ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w "<invalid-password>" -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49)
    Copy to Clipboard Toggle word wrap

  2. ユーザーの passwordRetryCount 属性を表示します。 

    # ldapsearch -H ldap://server.example.com -D "cn=Directory Manager" -W -b "uid=example,ou=People,dc=example,dc=com" -x passwordRetryCount
...
dn: uid=example,ou=People,dc=example,dc=com
passwordRetryCount: 1
    Copy to Clipboard Toggle word wrap
  3. レプリケーショントポロジー内の別のサーバーで直前のコマンドを実行します。passwordRetryCount 属性の値が同じである場合、Directory Server は属性をレプリケートします。
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat