4.7. 帐户策略插件属性
设定帐户策略,在经过一定时间后自动锁定帐户。这可用于创建仅对预先设定的时间有效或者锁定在一定时间内不活跃的用户的临时帐户。
帐户策略插件本身仅接受参数,该参数指向插件配置条目。
dn: cn=Account Policy Plugin,cn=plugins,cn=config ... nsslapd-pluginarg0: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config
帐户策略配置条目为整个服务器定义,用于帐户策略的属性。大多数配置都定义了用于评估帐户策略和过期时间的属性,但配置也定义了用于标识子树级帐户策略定义的对象类。
dn: cn=config,cn=Account Policy Plugin,cn=plugins,cn=config objectClass: top objectClass: extensibleObject cn: config ... attributes for evaluating accounts ... alwaysRecordLogin: yes stateattrname: lastLoginTime altstateattrname: createTimestamp ... attributes for account policy entries ... specattrname: acctPolicySubentry limitattrname: accountInactivityLimit
一个插件被全局配置,可以在用户子树中创建帐户策略条目,然后这些策略可应用到用户,并通过服务类应用到角色。
例 4.2. 帐户策略定义
dn: cn=AccountPolicy,dc=example,dc=com objectClass: top objectClass: ldapsubentry objectClass: extensibleObject objectClass: accountpolicy # 86400 seconds per day * 30 days = 2592000 seconds accountInactivityLimit: 2592000 cn: AccountPolicy
任何条目(单个用户和角色或 CoS 模板)都可以是帐户策略子条目。每个帐户策略子条目都会针对任何过期策略跟踪其创建和登录时间。
例 4.3. 带有帐户策略的用户帐户
dn: uid=scarter,ou=people,dc=example,dc=com ... lastLoginTime: 20060527001051Z acctPolicySubentry: cn=AccountPolicy,dc=example,dc=com
4.7.1. altstateattrname
帐户到期策略基于帐户的一些时间标准。例如,对于不活跃策略,主要条件可能是最后的登录时间,即 lastLoginTime
。但是,可能存在一个条目上不存在该属性的实例,例如从未登录其帐户的用户。altstateattrname
属性为服务器提供了可引用以评估过期时间的备份属性。
参数 | 描述 |
---|---|
条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
有效范围 | 任何基于时间的条目属性 |
默认值 | 无 |
语法 | DirectoryString |
示例 | altstateattrname: createTimeStamp |
4.7.2. alwaysRecordLogin
默认情况下,只有帐户策略直接应用到它们的条目 - 表示,带有 acctPolicySubentry
属性的条目 - 具有其登录时间跟踪时间。如果帐户策略通过服务或角色的类应用,则 acctPolicySubentry
属性位于模板或容器条目上,而不是用户条目本身。
alwaysRecordLogin
属性设置每个条目记录其最后一次登录时间。这允许 CoS 和角色用于应用帐户策略。
参数 | 描述 |
---|---|
条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
有效范围 | 是 | no |
默认值 | 否 |
语法 | DirectoryString |
示例 | alwaysRecordLogin: no |
4.7.3. alwaysRecordLoginAttr
Account Policy
插件使用 alwaysRecordLoginAttr
参数中设置的属性名称来存储用户的目录条目中此属性中最近一次成功登录的时间。如需更多信息,请参阅 目录服务器管理指南 中的对应部分。
参数 | 描述 |
---|---|
条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
有效范围 | 任何有效的属性名称 |
默认值 | stateAttrName |
语法 | DirectoryString |
示例 | alwaysRecordLoginAttr: lastLoginTime |
4.7.4. limitattrname
用户目录中的帐户策略条目定义帐户锁定策略的时间限制。这一时间限制可以在任何基于时间的属性中设置,策略条目可在 ti 中有多个基于时间的属性。用于帐户 inivation 限值的属性在帐户策略插件的 limitattrname
属性中定义,它会被全局应用于所有帐户策略。
参数 | 描述 |
---|---|
条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
有效范围 | 任何基于时间的条目属性 |
默认值 | 无 |
语法 | DirectoryString |
示例 | limitattrname: accountInactivityLimit |
4.7.5. specattrname
帐户策略确实有两个配置条目:插件配置条目中的全局设置,然后在用户目录中条目的 yser- 或 subtree 级别设置。可以直接在用户条目上设置帐户策略,也可以设置为 CoS 或角色配置的一部分。插件标识哪些条目是帐户策略配置条目的方式,方法是标识该条目上的特定属性,该属性将其标记为帐户策略。插件配置中的此属性为 specattrname
;它通常设置为 acctPolicySubentry
。
参数 | 描述 |
---|---|
条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
有效范围 | 任何基于时间的条目属性 |
默认值 | 无 |
语法 | DirectoryString |
示例 | specattrname: acctPolicySubentry |
4.7.6. stateattrname
帐户到期策略基于帐户的一些时间标准。例如,对于不活跃策略,主要条件可能是最后的登录时间,即 lastLoginTime
。用于评估帐户策略的主要时间属性是在 stateattrname
属性中设置的。
参数 | 描述 |
---|---|
条目 DN | cn=config,cn=Account Policy Plugin,cn=plugins,cn=config |
有效范围 | 任何基于时间的条目属性 |
默认值 | 无 |
语法 | DirectoryString |
示例 | stateattrname: lastLoginTime |