9.5. 계정 잠금 정책 설계
계정 잠금 정책은 디렉터리에 대한 무단 액세스 또는 손상된 액세스를 방지하여 디렉터리 데이터와 사용자 암호를 모두 보호할 수 있습니다. 계정이 잠겼거나 비활성화된 후 해당 사용자는 디렉터리에 바인딩할 수 없으며 모든 인증 작업이 실패합니다.
계정 비활성화는 operational 속성
nsAccountLock 을 통해 구현됩니다. 항목에 true 값이 있는 nsAccountLock 속성이 포함된 경우 서버는 해당 계정의 바인딩 시도를 거부합니다.
계정 잠금 정책은 특정 자동 기준에 따라 정의할 수 있습니다.
- 계정 잠금 정책은 암호 정책(9.6절. “암호 정책 설계”)과 연결할 수 있습니다. 사용자가 지정된 횟수 후에 적절한 인증 정보를 사용하여 로그인하지 못하면 관리자가 수동으로 잠금 해제할 때까지 계정이 잠깁니다.이렇게 하면 사용자 암호를 반복적으로 추측하여 디렉토리에 침입하려고 시도하는 크래커로부터 보호됩니다.
- 계정 잠금은 일정 시간이 지나면 잠길 수 있습니다. 이 기능을 사용하면 계정이 생성된 시간을 기반으로 시간 제한 액세스 권한이 있는 임시 사용자(예: 인턴, 교육생 또는 노련 작업자)에 대한 액세스를 제어할 수 있습니다. 또는 마지막 로그인 시간 이후 계정이 일정 시간 동안 비활성 상태인 경우 사용자 계정을 비활성화하도록 계정 정책을 생성할 수 있습니다.시간 기반 계정 잠금 정책은 디렉터리에 대한 글로벌 설정을 설정하는 계정 정책 플러그인을 통해 정의됩니다. 다양한 만료 시간 및 유형에 대해 여러 계정 정책 하위 항목을 생성한 다음 서비스 클래스를 통해 항목에 적용할 수 있습니다.
또한 단일 사용자 계정 또는 일련의 계정(역할을 통해)을 수동으로 비활성화할 수 있습니다.
참고
역할을 비활성화하면 역할 항목이 아닌 해당 역할의 모든 멤버가 비활성화됩니다. 역할에 대한 자세한 내용은 4.3.2절. “역할 정보” 을 참조하십시오.
