|
| |
| Sun Java(TM) System Directory Server 5 2004Q2 ����ָ�� | |
�� 7 ��
�����û��ʻ��Ϳ������û�l�ӵ� Directory Server ʱ��֤�û���ͬʱĿ¼���Ը����֤�����ȷ������������û�����Ȩ����Դ���ơ�
���½����û��ʻ����������(ΪĿ¼���ÿ�����ʻ�����ԡ�ͣ���ʻ����û��飬ʹ��������Ŀ¼��������û��İ� DN �����û����õ�ϵͳ��Դ��
Directory Server ֧�ָ�������ԡ����Զ����������IJ�ͬ������ԣ���������֮һӦ�õ����û����û��顣������Ժ����ؿ��Ʋ�ͬ���͵��û�����Ŀ¼�ķ�ʽ��
���°�����С�ڣ�
������Ը�����ȫ�Ŀ������ͨ��ǿ��ִ�����²��Խ������ײ²�Ŀ�������ķ��ս�����ͣ�
Directory Server ֧�ֵ����ȫ�ֿ�����ԡ���������������Ŀ¼���е�����Ŀ����ģ����иò��Ե��û���Ŀ�������ô˲��ԡ�����û���Ŀ�����õ�����ԣ��� cn=PasswordPolicy,cn=config �е�ȫ�ֿ�����Խ�Ӧ�õ��û���Ŀ��
������Խ�Ӧ���� userPassword ���ԣ�����û���Ŀ�д��ڣ������ڸ�ݴ����Խ�����֤�Ĺ����ǿ��ʵʩ�����Dz�Ӧ����������֤ģʽ���� SASL GSSAPI ����� SSL ����֤��
���²��ֽ������ִ�п�����Բ����������û����顣�й���ϸ��Ϣ������ġ�Directory Server Deployment Planning Guide��Chapter 7 �е� "Designing Password Policies"��
����ȫ�ֿ������ȫ�ֿ������������Ŀ¼��δ���嵥����Ե������û�������ȫ�ֿ�����Բ�������Ŀ¼����Ա��
ʹ�ÿ���̨���ÿ������
Ҫ���û��� Directory Server ��ȫ�ֿ�����ԣ���ִ�����²���
- �� Directory Server Console �Ķ��������á�ѡ���ѡ����ݡ��ڵ㣬Ȼ�����Ҳ������ѡ���ѡ���
- �ڡ����ѡ��ϣ����ò��Ե����·��棺
- ͨ��ѡ�С����ú��û������Ŀ����ѡ��ָ���û��������״ε�¼ʱ��Ŀ��
���ѡ�д˸�ѡ����ֻ�С�Ŀ¼����Ա������Ȩ�����û��Ŀ����������û�����ǿ���û���������
- Ҫ�����û�����Լ��Ŀ����ѡ�С��û����Ը�Ŀ����ѡ��
- Ҫ�����û��Ŀ�����Ƶ�ʣ����ڡ����� X ���ڸ�ġ��ı�������������Ҫ�����û��ɸ����Ը�Կ���������Σ���ѡ�С�û�����ơ���ѡ��
- Ҫ��ֹ�û�����ʹ����ͬ�Ŀ����ѡ�С�����������ʷ����ѡ���ڡ���¼ X �����ı�����ָ��ϣ�������Ϊÿ���û�����Ŀ������û�������������Ȼ���б��еĿ��Ϊ��ʹ�˹�����Ч����Ӧ�������û��Ŀ�����Ƶ�ʡ�
- ���ϣ���û�������ڣ���ѡ����Ӳ����ڡ���ѡ��ť��
- ������ѡ������ X �����ڡ���ѡ��ť����ǿ���û����ڸ�Ŀ��Ȼ�������û��������Ч����
- ���ѡ����Ҫ���ڵĿ��������ڡ��������ǰ X �췢��桱�ֶ���ָ���������ǰ������û����;��档
�û��ӵ��������ڳ�ʼ���ڹ��ڡ�ȡ��ѡ�С������Ƿ涼����ڡ���ѡ���ڷ��;�����ӳ���������������һ������ľ���ʱ��Ρ�ֻ����һ�ξ����һ���ӳ�������û��ڿ�����ں����û�п���¼��
- ���ϣ����������û�����������ȷ�����������������趨�����Ҫ����ѡ�С������������ѡ��Ȼ���ڡ�������С���ȡ��ı�����ָ���ɽ��ܵ���С����ȡ�
- Ĭ������£�Ŀ¼����Ա��������Υ��������ԵĿ����������ʹ����ʷ�еĿ��Ҫ����Ŀ¼����Ա���ô�������ѡ�С�����Ŀ¼����Ա�ܿ�������ԡ���ѡ��
- �ӡ�������ܡ���-�˵���ָ��ϣ��������ڴ洢����ʱʹ�ú��ּ��ܷ�����
- �����ʻ���ѡ���ѡ�С��ʻ����ܻᱻ����ѡ���Զ����ʻ�����ԣ�
- �����¼��ʧ�ܴ����Լ������¼�Դ������ʱ��Ρ�
- ѡ����Զ����ѡ��ť����ȷ����Ŀ¼����Ա�����û�����ǰ�>�������
- ������ѡ�������ޡ���ѡ��ť��Ȼ�������û��ʻ�����ʱ��ķ�����
- ��ɶԿ�����Եĸ�ĺ�����桱����b��ǿ��ִ���µ�ȫ�ֿ�����ԡ�
�����������ÿ������
ȫ�ֿ���������� cn=Password Policy,cn=config ��Ŀ�����Զ���ġ�ʹ�� ldapmodify ���ó�������ڴ���Ŀ�и��ȫ�ֿ�����ԡ�
��Directory Server Administration Reference��Chapter 2 �е� "cn=Password Policy" ����˿�����������п��ܵ����ԵĶ��塣
���磬��������Ϳ���ȼ��Ĭ������´��ڹر�״̬���ʻ����ڽ���״̬��ʹ������������Դ����顢��������С��������Ϊ 8������ 5 �δ������Ժ������������ʱ��
ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: cn=Password Policy,cn=config
changetype: modify
replace: passwordCheckSyntax
passwordCheckSyntax: on
-
replace: passwordMinLength
passwordMinLength: 8
-
replace: passwordLockout
passwordLockout: on
-
replace: passwordMaxFailure
passwordMaxFailure: 5
-
replace: passwordLockoutDuration
passwordLockoutDuration: 300
-
replace: passwordUnlock
passwordUnlock: on
���?���������������������ھ��� passwordPolicy �����������Ŀ�ж���ġ������� DN ��ʽΪ cn=��������������Ŀ¼���е�����λ�ö�����ԡ�ʹ�� Directory Server Console�������й��ó����������Ժ���ͨ����ϣ����û���Ŀ������ passwordPolicySubentry ����4���������ԡ�
�����е�ʾ������ Example.com���������Ϊ dc=example,dc=com��Ϊ��ʱԱ��ʵʩ������ԡ�
ʹ�ÿ���̨�������
- �� Directory Server Console �Ķ�����Ŀ¼��ѡ��У���ʾҪ�����ж��嵥������������Ŀ����Ŀ��
- �Ҽ�����Ŀ��ѡ���½���>��������ԡ������ߣ��������������Ŀ��ѡ����ӡ����˵���ѡ���½���>��������ԡ���
��ʾ��������ԡ���Ŀ���Զ���༭��
- �ڡ����桱�ֶ��У�����˲��Ե���ƺͿ�ѡ˵�����ƽ���Ϊ������Ե�����Ŀ�� cn �������Ե�ֵ��
- ������ѡ������ò��Ե����·��棺
- ͨ��ѡ�С����ú��û������Ŀ����ѡ��ָ���û��������״ε�¼ʱ��Ŀ�����ѡ�д˸�ѡ����ֻ�С�Ŀ¼����Ա������Ȩ�����û��Ŀ����������û�����ǿ���û���������
- Ҫ�����û�����Լ��Ŀ����ѡ�С��û����Ը�Ŀ����ѡ��
- Ҫ�����û��Ŀ�����Ƶ�ʣ����ڡ����� X ���ڸ�ġ��ı�������������Ҫ�����û��ɸ����Ը�Կ���������Σ���ѡ�С�û�����ơ���ѡ��
- Ҫ��ֹ�û�����ʹ����ͬ�Ŀ����ѡ�С�����������ʷ����ѡ��ָ��ҪΪÿ���û�����Ŀ������û�������������Ȼ�ڸ��б��еĿ��Ϊ��ʹ�˹�����Ч����Ӧ�������û��Ŀ�����Ƶ�ʡ�
- ���ϣ���û�������ڣ���ѡ����Ӳ����ڡ���ѡ��ť��
- ������ѡ������ X �����ڡ���ѡ��ť����ǿ���û����ڸ�Ŀ��Ȼ�������û��������Ч����
- ���ѡ����Ҫ���ڵĿ�������ָ���ڿ������ǰ���û����;����ʱ�䡣�ڡ��������ǰ X �췢��桱�ı���������������ǰӦ���;��������
�û��ӵ��������ڳ�ʼ���ڹ��ڡ�ȡ��ѡ�С������Ƿ涼����ڡ���ѡ���ڷ��;�����ӳ���������������һ������ľ���ʱ��Ρ�ֻ����һ�ξ����һ���ӳ�������û��ڿ�����ں����û�п���¼��
- ���ϣ����������û�����������ȷ�����������������趨�����Ҫ����ѡ�С������������ѡ��Ȼ���ڡ�������С���ȡ��ı�����ָ���ɽ��ܵ���С����ȡ�
- Ĭ������£�Ŀ¼����Ա��������Υ��������ԵĿ����������ʹ����ʷ�еĿ��Ҫ����Ŀ¼����Ա���ô�������ѡ�С�����Ŀ¼����Ա�ܿ�������ԡ���ѡ��
- �ӡ�������ܡ���-�˵���ָ��ϣ��������ڴ洢����ʱʹ�ú��ּ��ܷ�����
- ������ѡ���ѡ�С��ʻ����ܻᱻ����ѡ���Զ����ʻ�����ԣ�
- �����¼��ʧ�ܴ����Լ������¼�Դ������ʱ��Ρ�
- ѡ����Զ����ѡ��ť����ȷ����Ŀ¼����Ա�����û�����ǰ�>�������
- ������ѡ�������ޡ���ѡ��ť��Ȼ�������û��ʻ�����ʱ��ķ�����
- ���Զ���༭���е���ȷ�������Ա�����Բ�����������Ŀ��
������������
���ڴ˿�����ԣ�������ϣ����ʱԱ�������� 100 �죨8 640 000 �룩����ڣ����ڿ������ǰ 3 �죨259 200 �룩��ʼ���û����ص��ھ��档��������ǿ�ƶԿ��ȫ��ִ�л��飬��ǿ��ִ��������ֹ������ͨ��ʵ乥���ƽ������Ե�������Ӧ��Ĭ��ֵ��
ͨ����� dc=example,dc=com �µ���������Ŀ���� example.com �����ж���˿�����ԣ�
ldapmodify -a -h host -p port -D "cn=Directory Manager" -w password
dn: cn=TempPolicy,dc=example,dc=com
objectClass: top
objectClass: passwordPolicy
objectClass: LDAPsubentry
cn: TempPolicy
passwordStorageScheme: SSHA
passwordChange: on
passwordMustChange: on
passwordCheckSyntax: on
passwordExp: on
passwordMinLength: 6
passwordMaxAge: 8640000
passwordMinAge: 0
passwordWarning: 259200
passwordInHistory: 6
passwordLockout: on
passwordMaxFailure: 3
passwordUnlock: on
passwordLockoutDuration: 3600
passwordResetFailureCount: 600��Directory Server Administration Reference��Chapter 2 �е� "cn=Password Policy" �ṩ�˿�����������п��ܵ����ԵĶ��塣
����������
���䵥����������ָ����Ӧ�IJ�������Ŀ��ɡ���������Ϊ passwordPolicySubentry ��ֵ��ӵ�������Ŀ������ʹ�� CoS �ͽ�ɫ������ԡ����������÷��ʿ����Է�ֹ�û���Ӧ�������ǵĿ�����ԡ�
ʹ�ÿ���̨
Directory Server Console �ṩ��һ����棬���ڹ��������û�����Ŀ�����ԣ�
- �� Directory Server Console �Ķ�����Ŀ¼��ѡ��ϣ���ʾҪ�����з�����ĵ��������Ե��û���Ŀ������Ŀ��
- �Ҽ�����Ŀ���ӵ���˵���ѡ�����ÿ�����ԡ������ߣ��������������Ŀ��ѡ����ӡ����˵���ѡ�����ÿ�����ԡ���
- ��������ԡ��Ի���֪Ӧ���ڴ���Ŀ�Ŀ�����ԣ�
- ���ȫ�ֿ���������ã��뵥����䡱����Ŀ¼���е�����λ��ѡ��һ������������Ŀ��
- ����Ѿ������˵�����ԣ�������滻��ɾ���༭�˵�����ԡ�����༭���ԡ�������������IJ�������Ŀ���Զ���༭��
������滻������Խ�����Ŀ¼�����Ի����ڴ�����ܻῴ��һ����С��Կͼ����ʾ�Ŀ����������Ŀ��
- ������˴˲��ԣ����ڡ�������ԡ��Ի����е���ȷ�������²��Խ�b����Ч��
��������
ҪΪ�û���Ŀ������Ŀ���������ԣ��뽫������Ե� DN ��Ϊ passwordPolicySubentry ���Ե�ֵ��ӡ����磬�������Ϊ Barbara Jensen ���� cn=TempPolicy,dc=example,dc=com��
ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: uid=bjensen,ou=People,dc=example,dc=com
changetype: modify
add: passwordPolicySubentry
passwordPolicySubentry: cn=TempPolicy,dc=example,dc=comʹ�ý�ɫ�� CoS
����ɫ���û�����ʱ������ʹ�� CoS ָ����Ӧ�IJ�������Ŀ���й�ʹ�ý�ɫ�� CoS ����ϸ��Ϣ��������� 5 �¡�������ݺͽ�ɫ����
�����ʾ���У���������� Example.com Ϊ��ʱԱ������һ����ɸѡ��ɫ����Ϊ��Щ���д˽�ɫ��Ա������ cn=TempPolicy,dc=example,dc=com��
ldapmodify -a -h host -p port -D "cn=Directory Manager" -w password
dn: cn=TempFilter,ou=people,dc=example,dc=com
objectclass: top
objectclass: LDAPsubentry
objectclass: nsRoleDefinition
objectclass: nsComplexRoleDefinition
objectclass: nsFilteredRoleDefinition
cn: TempFilter
nsRoleFilter: (&(objectclass=person)(status=contractor))
description: filtered role for temporary employees
dn: cn=PolTempl,dc=example,dc=com
objectclass: top
objectclass: nsContainer
dn: cn="cn=TempFilter,ou=people,dc=example,dc=com",
cn=PolTempl,dc=example,dc=com
objectclass: top
objectclass: extensibleObject
objectclass: LDAPsubentry
objectclass: costemplate
cosPriority: 1
passwordPolicySubentry: cn=TempPolicy,dc=example,dc=com
dn: cn=PolCoS,dc=example,dc=com
objectclass: top
objectclass: LDAPsubentry
objectclass: cosSuperDefinition
objectclass: cosClassicDefinition
cosTemplateDN: cn=PolTempl,dc=example,dc=com
cosSpecifier: nsRole
cosAttribute: passwordPolicySubentry operational���к�ͬ��״̬���û����ڽ����ӿ������ cn=TempPolicy,dc=example,dc=com��
��������������
Ҫ��ֹ�û���Ӧ�������ǵĿ�����ԣ������������Ŀ��� ACI�����磺
ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr != "passwordPolicySubentry")(version 3.0; acl
"Allow self modification except for passwordPolicySubentry";
allow (write) (userdn ="ldap:///self");)
�����û�����Ŀ¼���û���Ŀ�� userPassword �����д洢����ֵ����ݷ�����ķ��ʿ������ã��û�����ʹ������ ldapmodify �ı����߽� userPassword ��ֵ��Ϊ��ָ���Ŀ������һ�¡�
��һ�����>��ʻ����ڿ�������У��û��������� accountUnlockTime Ϊ 0���� passwordUnlock Ϊ off��������Ŀ¼����Ա��������ÿ����Խ���û��ʻ������磬���� Example.com Ŀ¼�û� Barbara Jensen ����Dz��²��������>�����
ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: uid=bjensen,ou=People,dc=example,dc=com
changetype: modify
replace: userPassword
userPassword: ChAnGeMe����ڿ�������� passwordMustChange �ѿ����� Barbara �������´ΰ��Ŀ�����ס���������ѽ��������Ϊ ChAnGeMe�����ͨ��ȫ�ķ�ʽ��
ͣ�úͼ����û��ͽ�ɫ����ʱͣ�õ����û��ʻ���һ���ʻ���ͣ�ú��û�����Ŀ¼����֤����ʧ�ܡ�
�����еIJ������������ͬ��ʽͣ���û��ͽ�ɫ�����ǣ�ͣ�ý�ɫʱ��ͣ�õ��� role �еij�Ա����ǽ�ɫ��Ŀ���?�й�һ���ɫ���Լ���ɫ������ض����ʿ��ƽ��н������õ���ϸ��Ϣ��������� 5 �¡�������ݺͽ�ɫ����
ʹ�ÿ���̨�����û��ͽ�ɫ����
- �� Directory Server Console �Ķ�����Ŀ¼��ѡ��ϣ����Ŀ¼������ʾҪͣ�û����¼�����û���Ŀ���ɫ��Ŀ��
- ˫����Ŀ����ʾ���Զ���༭����������е����ʻ���ѡ���
�Ҳ���彫��ʾ��Ŀ�ļ���״̬��
- ����ð�ť��ͣ�û������Ŀ��Ӧ���û����ɫ���ᴩ�༭�����û�ͼ����ɫͼ��ĺ�ɫ�����������Ŀ����ͣ�á�
- ����ȷ�����رնԻ����������Ŀ�µļ���״̬��
������ѡ�����Ŀ���ӡ����˵���ѡ��ͣ�á����������һ�ִ��Զ���༭��Ŀ�ݷ�ʽ��
ͨ��ӡ�����̨��ͼ��>����ʾ���˵���ѡ��ͣ��״̬�������Բ鿴����Ŀ¼����ļ���״̬���������ͣ����Ŀ��ͼ�꽫��ʾΪ��һ�����ᴩ���С�������ֱ��ͣ����Ŀ����ͨ���ɫ��Ա���ͣ����Ŀ��������ʾ�û���Ŀ����ȷ����״̬��
�������������û��ͽ�ɫ����
Ҫͣ���û��ʻ����ɫ��Ա����ʹ�� directoryserver account-inactivate ���Ҫ��������¼����û����ɫ����ʹ�� directoryserver account-activate ���
����������ʾ���ʹ����Щ����4ͣ�ú����¼��� Barbara Jensen ���û��ʻ���
/usr/sbin/directoryserver account-inactivate -h host -p port -D "cn=Directory\
Manager" -w password -I "uid=bjensen,ou=People,dc=example,dc=com"/usr/sbin/directoryserver account-activate -h host -p port -D "cn=Directory\
Manager" -w password -I "uid=bjensen,ou=People,dc=example,dc=com"����}�������У�-I ѡ��ָ��ҪΪ�����ü���״̬���û����ɫ�� DN��
�й���ϸ��Ϣ������ġ�Directory Server Administration Reference��Chapter 1 �е� "account-activate" �� "account-inactivate"��
���õ�����Դ������ʹ�ð�Ŀ¼�Ŀͻ���Ӧ�ó������ض���������ֵ�������������ķ��������ơ���������������������ƣ�
Ϊ�ض��û����õ���Դ������������ȫ�ַ��������������õ�Ĭ����Դ���ơ�Ӧ����֤�洢������Դ���Ƶ������Ƿ��ܵ��������û���Ŀ���ϵ����� ACI �ı������Է�ֹ����������ģ�
(targetattr != "nsroledn || aci || nsLookThroughLimit || nsSizeLimit || nsTimeLimit || nsIdleTimeout || passwordPolicySubentry || passwordExpirationTime || passwordExpWarned || passwordRetryCount || retryCountResetTime || accountUnlockTime || passwordHistory || passwordAllowChangeTime")(version 3.0; acl "Allow self entry modification except for nsroledn, aci, resource limit attributes, passwordPolicySubentry and password policy state attributes"; allow (write)userdn ="ldap:///self";)
ʹ�ÿ���̨������Դ����
��������������Դ����
����ʹ�� ldapmodify �������û���Ŀ�������������ԣ��������û�����Դʹ�ã�
���磬��ͨ����������ִ�� ldapmodify 4������Ŀ�Ĵ�С���ƣ�
ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: uid=bjensen,ou=People,dc=example,dc=com
changetype: modify
add: nsSizeLimit
nsSizeLimit: 500ldapmodify ��佫 nsSizeLimit ������ӵ� Barbara Jensen ����Ŀ�У������������ش�С����Ϊ 500 ����Ŀ��