Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

3.10. 복제 환경의 모든 서버에서 계정 잠금 속성 동기화

Directory Server는 계정 잠금 특성을 로컬로 저장합니다. 여러 서버가 있는 환경에서는 이러한 속성에 대한 복제를 구성하여 계정 잠금 수에 도달한 다음 다른 서버에서 계속될 때까지 공격자가 하나의 서버에 로그인하지 못하도록 합니다.

Directory Server는 다음과 같이 암호 및 계정 잠금 정책을 적용합니다.

  • 암호 정책은 데이터 공급자에 적용됩니다.
  • 복제 토폴로지의 모든 서버에 계정 잠금 정책이 적용됨

Directory Server는 다음과 같은 암호 정책 속성을 복제합니다.

  • passwordMinAge
  • passwordMaxAge
  • passwordExp
  • passwordWarning

그러나 기본적으로 Directory Server는 일반 계정 잠금 특성을 복제하지 않습니다.

  • passwordRetryCount
  • retryCountResetTime
  • accountUnlockTime

공격자가 계정 잠금 수에 도달하고 다른 서버에서 계속할 때까지 한 서버에 로그인하지 못하도록 이러한 계정 잠금 특성을 복제합니다.

3.10.2. 계정 잠금 속성을 복제하도록 Directory Server 구성
링크 복사

passwordRetryCount,retryCountResetTime 또는 accountUnlockTime 속성을 업데이트하는 계정 잠금 정책 또는 암호 정책을 사용하는 경우 이러한 속성을 복제하여 해당 값이 모든 서버에서 동일하게 Directory Server를 구성합니다.

복제 토폴로지의 모든 공급자에 대해 이 절차를 수행합니다.

사전 요구 사항

  • 언급된 속성을 하나 이상 업데이트하는 계정 잠금 정책 또는 암호 정책을 구성했습니다.
  • 복제 환경에서 Directory Server를 사용합니다.

절차

  1. 암호 정책 속성 복제를 활성화합니다. 

    # dsconf <instance_name> pwpolicy set --pwdisglobal="on"
    Copy to Clipboard Toggle word wrap

  2. 소수 복제를 사용하는 경우 복제에서 제외된 속성 목록을 표시합니다. 

    # dsconf <instance_name> repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"dsconf <instance_name> repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"dsconf <instance_name> repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"dsconf <instance_name> repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"dsconf <instance_name> repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"dsconf <instance_name> repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"dsconf <instance_name> repl-agmt get --suffix "dc=example,dc=com" example-agreement | grep "nsDS5ReplicatedAttributeList"
    Copy to Clipboard Toggle word wrap

    기본 설정을 사용하여 출력이 표시되지 않으며 Directory Server는 계정 잠금 특성을 복제합니다. 그러나 명령에서 다음 예와 같이 제외된 속성 목록을 반환하는 경우 속성 목록을 확인합니다. 

    nsDS5ReplicatedAttributeList: (objectclass=*) $ EXCLUDE accountUnlockTime passwordRetryCount retryCountResetTime example1 example2
    Copy to Clipboard Toggle word wrap

    이 예에서는 accountUnlockTime,passwordRetryCount, retryCountResetTime 잠금 정책 속성은 복제에서 제외되며 다른 두 가지 특성과 함께 복제에서 제외됩니다.

  3. 이전 명령의 출력에 계정 잠금 속성 중 하나가 나열되는 경우 잠금 정책 속성 이외의 속성만 포함하도록 소수 복제 설정을 업데이트합니다. 

    # dsconf <instance_name> repl-agmt set --suffix "dc=example,dc=com" --frac-list "example1 example2" example-agreement
    Copy to Clipboard Toggle word wrap

검증

  1. 잘못된 암호를 사용하여 사용자로 검색을 시도합니다. 

    # ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w "<invalid-password>" -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49)
    Copy to Clipboard Toggle word wrap

  2. 사용자의 passwordRetryCount 특성을 표시합니다. 

    # ldapsearch -H ldap://server.example.com -D "cn=Directory Manager" -W -b "uid=example,ou=People,dc=example,dc=com" -x passwordRetryCount
...
dn: uid=example,ou=People,dc=example,dc=com
passwordRetryCount: 1
    Copy to Clipboard Toggle word wrap
  3. 복제 토폴로지의 다른 서버에서 이전 명령을 실행합니다. passwordRetryCount 특성의 값이 동일한 경우 Directory Server가 특성을 복제합니다.
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat