검색
지원콘솔개발자평가판 시작연락처

14장. 암호 기반 계정 잠금 정책 구성

download PDF

암호 기반 계정 잠금 정책은 공격자가 사용자의 암호를 반복적으로 추측하지 못하도록 합니다. 지정된 횟수의 바인딩 실패 후 사용자 계정을 잠그도록 계정 잠금 정책을 구성할 수 있습니다.

암호 기반 계정 잠금 정책이 구성된 경우 Directory Server는 사용자 항목의 다음 속성에 잠금 정보를 유지합니다.

  • passwordRetryCount 실패한 바인딩 시도 수를 저장합니다. directory Server는 사용자가 retryCountResetTime 의 시간보다 나중에 디렉터리에 바인딩되는 경우 값을 재설정합니다. 이 속성은 사용자가 처음으로 바인딩하지 못하면 존재합니다.
  • retryCountResetTime: passwordRetryCount 속성이 재설정된 시간을 저장합니다. 이 속성은 사용자가 처음으로 바인딩하지 못하면 존재합니다.
  • AccountUnlockTime: 사용자 계정이 잠금 해제된 시간을 저장합니다. 이 속성은 계정이 처음 잠긴 후 존재합니다.

14.1. 구성된 최대 시도에 도달하거나 초과할 때 계정을 잠글지 여부 구성

관리자는 Directory Server가 실패한 로그인 시도 시 계정을 잠글 때 다음 동작 중 하나를 구성할 수 있습니다.

  • 제한이 초과된 경우 서버 잠금 계정입니다. 예를 들어 제한이 3번 시도로 설정되면 네 번째 실패 시도(n+1) 후에 잠금이 발생합니다. 또한 네 번째 시도에 성공하면 Directory Server가 계정을 잠그지 않습니다.

    기본적으로 Directory Server는 기존 LDAP 클라이언트에서 자주 사용하는 이 레거시 암호 정책을 사용합니다.

  • 제한에 도달한 경우 서버 잠금 계정입니다. 예를 들어 제한이 3번으로 설정되면 세 번째 시도에 실패한 후 서버가 계정을 잠급니다(n).

    최신 LDAP 클라이언트는 종종 이러한 동작을 예상합니다.

다음 절차에서는 레거시 암호 정책을 비활성화하는 방법을 설명합니다. 정책을 변경한 후 Directory Server는 구성된 제한에 도달한 사용자에 대한 로그인 시도를 차단합니다.

사전 요구 사항

  • 계정 잠금 정책을 구성하셨습니다.

절차

  • 레거시 암호 정책을 비활성화하고 계정에 도달한 경우 계정을 잠급니다. 

    # dsconf -D "cn=Directory Manager" ldap://server.example.com config replace passwordLegacyPolicy=off

검증

  1. passwordmaxfailure 설정 값을 표시합니다. 

    # dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy get passwordmaxfailure
passwordmaxfailure: 2

  2. 유효하지 않은 암호를 사용하여 바인딩하려고 하면 passwordmaxfailure 에 설정된 값보다 한 번 더 늘어납니다. 

    # ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49)

# ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49)

# ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Constraint violation (19)
	additional info: Exceed password retry limit. Please try later.

    기존 암호가 비활성화된 상태에서 Directory Server는 두 번째 시도 후 계정을 잠겼고 ldap_bind: Constraint violation-19) 오류로 인해 추가 시도가 차단됩니다.

추가 리소스

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.