主页
产品
Red Hat Directory Server
12
保护红帽目录服务器
14.2. 使用命令行配置基于密码的帐户锁定策略

14.2. 使用命令行配置基于密码的帐户锁定策略

要块使用无效密码的登录绑定尝试，请配置基于密码的帐户锁定策略。

重要

Directory 服务器在到达或超过配置的最大尝试时锁定帐户的行为取决于旧的密码策略设置。

流程

可选：识别是否启用或禁用旧密码策略：

# dsconf -D "cn=Directory Manager" ldap://server.example.com config get passwordLegacyPolicy
passwordLegacyPolicy: on

启用 password lockout 策略，并将最大故障数设置为 2：
```
# dsconf -D "cn=Directory Manager" ldap://server.example.com pwpolicy set --pwdlockout on --pwdmaxfailures=2
```
启用传统密码策略时，Directory 服务器会在第三个尝试绑定失败后锁定帐户( --pwdmaxfailures 参数的值 + 1)。
dsconf pwpolicy set 命令支持以下参数：
- --pwdlockout ：启用或禁用帐户锁定功能。默认： off。
- --pwdmaxfailures ：设置在目录服务器锁定帐户前允许尝试的最大值。默认： 3。
  请注意，如果启用了传统密码策略设置，则稍后会尝试锁定。默认： 3。
- --pwdresetfailcount ：设置目录服务器在用户条目中重置 passwordRetryCount 属性前的时间（以秒为单位）。默认： 600 秒(10 分钟)。
- --pwdlockoutduration ：设置已锁定帐户的时间（以秒为单位）。如果将 --pwdunlock 参数设置为 off，则此参数将被忽略。默认： 3600 秒(1 小时)。
- --pwdunlock ：启用或禁用在一定时间后是否应解锁锁定的帐户，或保持禁用状态，直到管理员手动解锁为止。默认： 上的。

验证

尝试绑定使用无效密码两次，超过您在 --pwdmaxfailures 参数中设置的值：

# ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49)

# ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49)

# ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Invalid credentials (49)

# ldapsearch -H ldap://server.example.com -D "uid=example,ou=People,dc=example,dc=com" -w invalid-password -b "dc=example,dc=com" -x
ldap_bind: Constraint violation (19)
        additional info: Exceed password retry limit. Please try later.

启用旧密码后，Directory 服务器会在超过限制后锁定帐户，并进一步尝试使用 ldap_bind: Constraint violation (19) ）错误阻止帐户。

14.2. 使用命令行配置基于密码的帐户锁定策略

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links