帐户锁定策略

本部分介绍用于管理帐户锁定的策略属性。

目录服务器帐户一般指用户条目，以及用户在目录上执行操作的权限。每个帐户都与绑定 DN 和用户密码相关联。当入侵者看上去要尝试破解密码时，您希望目录服务器锁定帐户。锁定可阻止入侵者使用帐户进行绑定。锁定还可阻止入侵者继续进行攻击。

作为管理员，您还可以手动停用某个帐户或共享某个角色的所有用户的帐户。有关说明，请参见手动锁定帐户。但是，密码策略的一个重要部分就是指定目录服务器在什么情况下锁定帐户，而不需要您的干预。

首先，您必须指定目录服务器可以在发生太多失败绑定时使用 pwdLockout(5dsat) 自动锁定帐户。目录服务器会跟踪尝试绑定到帐户的连续失败次数。可以使用 pwdMaxFailure(5dsat) 指定在目录服务器锁定帐户之前所允许的连续失败次数。

目录服务器将严格按照密码策略锁定帐户。此操作完全为机械性操作。帐户锁定的原因可能不是入侵者对帐户发动攻击，而是用户键入了错误的密码。因此，可以使用 pwdFailureCountInterval(5dsat) 指定目录服务器在清除失败尝试记录之前等待下一次尝试的时间。可以使用 pwdLockoutDuration(5dsat) 指定在目录服务器自动对帐户解除锁定之前锁定持续的时间。如果用户并非出于恶意而犯下了合理错误，管理员无需介入帐户解除锁定。

如果在复制拓扑中复制用户数据，则会将锁定属性与其他条目数据一起复制。pwdIsLockoutPrioritized(5dsat) 属性的默认设置为 TRUE，因此将以较高的优先级复制锁定属性的更新。这样，用户只能对任何单个副本连续进行 pwdMaxFailure 次失败的绑定尝试，超过之后将被锁定；对于其他副本，被锁定之前的绑定尝试次数可能更少一些。有关如何确保用户在整个复制拓扑中被锁定之前进行 pwdMaxFailure 次尝试的详细信息，请参见《Sun Java System Directory Server Enterprise Edition 6.3 Deployment Planning Guide》中的“Preventing Authentication by Using Global Account Lockout”。