4.7. 帐户策略插件属性

可以设置帐户策略，以便在经过一定时间后自动锁定帐户。这可用于创建仅对预设置时间有效的临时帐户，或者锁定在一定时间内不活跃的用户。

帐户策略插件本身仅接受参数，该参数指向插件配置条目。

dn: cn=Account Policy Plugin,cn=plugins,cn=config
...
nsslapd-pluginarg0: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config

dn: cn=Account Policy Plugin,cn=plugins,cn=config
...
nsslapd-pluginarg0: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config

Copy to Clipboard

Toggle word wrap

帐户策略配置条目为整个服务器定义，用于帐户策略的属性。大多数配置定义了用于评估帐户策略和过期时间的属性，但配置还定义了用来识别子树级帐户策略定义的对象类。

dn: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
objectClass: top
objectClass: extensibleObject
cn: config

... attributes for evaluating accounts ...
alwaysRecordLogin: yes
stateattrname: lastLoginTime
altstateattrname: createTimestamp

... attributes for account policy entries ...
specattrname: acctPolicySubentry
limitattrname: accountInactivityLimit

dn: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
objectClass: top
objectClass: extensibleObject
cn: config

... attributes for evaluating accounts ...
alwaysRecordLogin: yes
stateattrname: lastLoginTime
altstateattrname: createTimestamp

... attributes for account policy entries ...
specattrname: acctPolicySubentry
limitattrname: accountInactivityLimit

Copy to Clipboard

Toggle word wrap

一个插件是全局配置的，可以在用户子树中创建帐户策略条目，然后通过服务类将这些策略应用到用户和角色。

例 4.2. 帐户策略定义

dn: cn=AccountPolicy,dc=example,dc=com
objectClass: top
objectClass: ldapsubentry
objectClass: extensibleObject
objectClass: accountpolicy
# 86400 seconds per day * 30 days = 2592000 seconds
accountInactivityLimit: 2592000
cn: AccountPolicy

dn: cn=AccountPolicy,dc=example,dc=com
objectClass: top
objectClass: ldapsubentry
objectClass: extensibleObject
objectClass: accountpolicy
# 86400 seconds per day * 30 days = 2592000 seconds
accountInactivityLimit: 2592000
cn: AccountPolicy

Copy to Clipboard

Toggle word wrap

任何条目，单个用户和角色或 CoS 模板都可以是帐户策略子条目。每个帐户策略子条目都有自己的创建和登录时间，针对任何过期策略跟踪。

例 4.3. 带有帐户策略的用户帐户

dn: uid=scarter,ou=people,dc=example,dc=com
...
lastLoginTime: 20060527001051Z
acctPolicySubentry: cn=AccountPolicy,dc=example,dc=com

dn: uid=scarter,ou=people,dc=example,dc=com
...
lastLoginTime: 20060527001051Z
acctPolicySubentry: cn=AccountPolicy,dc=example,dc=com

Copy to Clipboard

Toggle word wrap

4.7.1. altstateattrname
复制链接

帐户过期策略基于帐户的一些时间标准。例如，对于不活动策略，主标准可能是上次登录时间 lastLoginTime。但是，可能存在该条目上不存在该属性的实例，例如从不登录到其帐户的用户。altstateattrname 属性为服务器提供 backup 属性，以引用评估过期时间。

Expand

参数	描述
条目 DN	cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
有效范围	任何基于时间的条目属性
默认值	无
语法	DirectoryString
示例	altstateattrname: createTimeStamp

4.7.2. alwaysRecordLogin
复制链接

默认情况下，只有直接应用帐户策略的条目 - 即带有 acctPolicySubentry 属性的条目 - 它们的登录时间被跟踪。如果通过服务或角色类应用帐户策略，则 acctPolicySubentry 属性位于模板或容器条目上，而不是用户条目本身。

alwaysRecordLogin 属性设置每个条目都记录其上次登录时间。这允许使用 CoS 和角色来应用帐户策略。

Expand

参数	描述
条目 DN	cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
有效范围	是 \| no
默认值	否
语法	DirectoryString
示例	alwaysRecordLogin: no

4.7.3. alwaysRecordLoginAttr
复制链接

Account Policy 插件使用 alwaysRecordLoginAttr 参数中设置的属性名称，将最后一个成功登录的时间存储在用户的目录条目中。如需更多信息，请参阅 Directory Server Administration Guide 中的相应部分。

Expand

参数	描述
条目 DN	cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
有效范围	任何有效的属性名称
默认值	stateAttrName
语法	DirectoryString
示例	alwaysRecordLoginAttr: lastLoginTime

4.7.4. limitattrname
复制链接

用户目录中的帐户策略条目定义帐户锁定策略的时间限制。此时间限制可以在任何基于时间的属性中设置，策略条目可以在 ti 中有多个基于时间的属性。用于帐户 inactivation 限制的策略中的属性在 Account Policy Plug-in 中的 limitattrname 属性中定义，它被全局应用到所有帐户策略。

Expand

参数	描述
条目 DN	cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
有效范围	任何基于时间的条目属性
默认值	无
语法	DirectoryString
示例	limitattrname: accountInactivityLimit

帐户策略实际上有两个配置条目：插件配置条目中的全局设置，然后在用户目录中条目中的 yser- 或 subtree-level 设置。可以在用户条目上直接设置帐户策略，也可以设置为 CoS 或角色配置的一部分。插件标识哪个条目是帐户策略配置条目的方式，其标识条目上的特定属性将其标记为帐户策略。插件配置中的此属性是 specattrname ；它通常设置为 acctPolicySubentry。

Expand

参数	描述
条目 DN	cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
有效范围	任何基于时间的条目属性
默认值	无
语法	DirectoryString
示例	specattrname: acctPolicySubentry

4.7.6. stateattrname
复制链接

帐户过期策略基于帐户的一些时间标准。例如，对于不活动策略，主标准可能是上次登录时间 lastLoginTime。用于评估帐户策略的主要时间属性在 stateattrname 属性中设置。

Expand

参数	描述
条目 DN	cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
有效范围	任何基于时间的条目属性
默认值	无
语法	DirectoryString
示例	stateattrname: lastLoginTime

返回顶部

4.7. 帐户策略插件属性

4.7.1. altstateattrname
复制链接

4.7.2. alwaysRecordLogin
复制链接

4.7.3. alwaysRecordLoginAttr
复制链接

4.7.4. limitattrname
复制链接

4.7.5. specattrname
复制链接

4.7.6. stateattrname
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.7. 帐户策略插件属性

4.7.1. altstateattrname复制链接链接已复制到粘贴板!

4.7.2. alwaysRecordLogin复制链接链接已复制到粘贴板!

4.7.3. alwaysRecordLoginAttr复制链接链接已复制到粘贴板!

4.7.4. limitattrname复制链接链接已复制到粘贴板!

4.7.5. specattrname复制链接链接已复制到粘贴板!

4.7.6. stateattrname复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.7.1. altstateattrname
复制链接

4.7.2. alwaysRecordLogin
复制链接

4.7.3. alwaysRecordLoginAttr
复制链接

4.7.4. limitattrname
复制链接

4.7.5. specattrname
复制链接

4.7.6. stateattrname
复制链接