9.5. 设计帐户锁定策略
帐户锁定策略可通过防止未经授权或破坏对该目录的访问来保护目录数据和用户密码。在帐户被锁定或取消激活后,该用户无法绑定到该目录,任何验证操作都失败。
帐户停用是通过操作属性
nsAccountLock
实现的。当条目包含值为 true 的 nsAccountLock
属性时,服务器会拒绝该帐户的绑定尝试。
帐户锁定策略可根据特定的自动条件定义:
- 帐户锁定策略可以与密码策略(第 9.6 节 “设计密码策略”)关联。当用户在指定次数后使用正确的凭证登录时,帐户会被锁定,直到管理员手动解锁它。这样可防止尝试通过重复尝试猜测用户密码来进入该目录的攻击。
- 在存在一定时间后,可以锁定帐户。这可用于控制临时用户(如 interns、学员或季节性工作者)的访问,根据帐户创建时间限制访问时间。或者,如果帐户在上一次登录时间不活动一段时间内,可以在激活用户帐户时创建帐户策略。基于时间的帐户锁定策略通过帐户策略插件来定义,该策略设定目录的全局设置。可以为不同的过期时间和类型创建多个帐户策略子条目,然后通过服务类应用到条目。
另外,可以手动取消激活单个用户帐户或一组帐户(通过角色)。
注意
取消激活角色会取消激活该角色的所有成员,而不是角色条目本身。有关角色的更多信息,请参阅 第 4.3.2 节 “关于角色”。