7.5. 设计帐户锁定策略
帐户锁定策略可通过防止未经授权或破坏对该目录的访问来保护目录数据和用户密码。目录服务器锁定或 取消激活、帐户后,该用户无法绑定到该目录,任何身份验证操作都会失败。
使用 nsAccountLock
operational 属性来实现帐户取消激活。当条目包含 nsAccountLock
属性且值为 true
时,服务器会拒绝该帐户的绑定尝试。
目录服务器可以根据特定的自动条件定义帐户锁定策略:
目录服务器可以将帐户锁定策略与密码策略关联。当用户在指定次数后使用正确的凭证登录时,Directory 服务器会锁定帐户,直到管理员手动解锁它。
这样的策略通过重复尝试猜测用户密码,防止尝试破坏该目录的恶意执行者。
目录服务器可以在过一定时间后锁定帐户。您可以使用此策略来控制临时用户的访问权限,如 interns、个人或 seasonal worker,它们会根据帐户创建的时间限时的访问权限。另外,您可以创建一个帐户策略,如果帐户在上一次登录时间不活动一段时间,则激活用户帐户。
使用帐户策略插件实施基于时间的帐户锁定策略,并为该目录设置全局设置。您可以为不同的过期时间和类型创建多个帐户策略子条目,然后通过类服务将这些策略应用到条目。
其他资源