7장 사용자 계정 및 비밀번호 관리

사용자가 Directory Server에 연결하면, 사용자가 인증되고 디렉토리는 인증 도중 설정된 아이디에 따라 사용자에게 액세스 권한 및 자원 제한을 부여할 수 있습니다.

이 장에서는 디렉토리에 대한 비밀번호 및 계정 잠금 정책 구성, 디렉토리에 액세스할 수 없도록 계정 또는 사용자 그룹 비활성화, 바인드 DN에 따라 사용자가 사용할 수 있는 시스템 자원 제한 등의 사용자 계정 관리 작업에 대해 설명합니다.

Directory Server는 개별 비밀번호 정책을 지원합니다. 다양한 비밀번호 정책을 정의하여 이 정책 중 하나를 특정 사용자 또는 사용자 그룹에 적용할 수 있으므로 디렉토리에 액세스할 수 있는 사용자 유형을 쉽게 제어할 수 있습니다.

비밀번호 정책에 대한 개요

보안 비밀번호 정책은 다음과 같은 요구 사항을 강제하여 쉽게 추측할 수 있는 비밀번호로 인한 위험을 최소화합니다.

사용자는 일정에 따라 비밀번호를 변경해야 합니다.

사용자는 일반적이지 않은 비밀번호를 제공해야 합니다.

잘못된 비밀번호를 사용하여 여러 번 바인드를 시도하면 해당 계정이 잠길 수 있습니다.

Directory Server는 개별 및 전역 비밀번호 정책을 모두 지원합니다. 개별 비밀번호 정책은 디렉토리 트리의 하위 항목에서 정의되어 해당 정책이 할당된 사용자 항목에서 참조됩니다. 사용자 항목이 개별 정책을 참조하지 않으면 cn=PasswordPolicy,cn=config에 있는 전역 비밀번호 정책이 적용됩니다.

비밀번호 정책은 사용자 항목에 있는 userPassword 속성에만 적용되며, 이 속성에 기반한 인증 도중에 적용됩니다. SASL GSSAPI 또는 SSL 기반 인증 등의 다른 인증 스키마에는 적용되지 않습니다.

다음 절에서는 비밀번호 정책의 구현 방법과 이 비밀번호 정책을 사용자 및 그룹에 할당하는 방법에 대해 설명합니다. 자세한 내용은 Directory Server Deployment Planning Guide의 7장, “Designing Password Policies”를 참조하십시오.

전역 비밀번호 정책 구성

전역 비밀번호 정책은 개별 정책이 정의되어 있지 않은 디렉토리의 모든 사용자에게 적용되지만 디렉토리 관리자에게는 적용되지 않습니다.

콘솔에서 비밀번호 정책 구성

Directory Server의 전역 비밀번호 정책을 설정하거나 수정하려면 다음을 수행합니다.

Directory Server 콘솔의 최상위 구성 탭에서 데이터 노드를 선택한 다음 오른쪽 패널에서 "비밀번호" 탭을 선택합니다.

"비밀번호" 탭에서 정책의 다음 측면을 설정합니다.

"사용자가 재설정후 비밀번호를 변경해야 함" 확인란을 선택하여 사용자가 처음 로그온할 때 자신의 비밀번호를 변경하도록 지정합니다.

이 확인란을 선택하면 디렉토리 관리자만 사용자 비밀번호를 재설정할 수 있습니다. 일반 관리자는 사용자가 자신의 비밀번호를 업데이트하도록 강요할 수 없습니다.

사용자가 자신의 비밀번호를 변경할 수 있도록 허용하려면 "사용자가 비밀번호를 변경할 수 있음" 확인란을 선택합니다.

사용자가 자신의 비밀번호를 변경할 수 있는 빈도를 제한하려면 "X일 내 변경 허용" 텍스트 상자에 일 수를 입력합니다. 사용자가 원하는 대로 비밀번호를 변경할 수 있게 하려면 "제한 없음" 확인란을 선택합니다.

사용자가 같은 비밀번호를 계속 사용하는 것을 방지하려면, "비밀번호 기록 유지" 확인란을 선택하고 서버가 각 사용자별로 유지할 비밀번호의 수를 "보존수" 텍스트 상자에 지정합니다. 이 경우 사용자는 목록에 있는 비밀번호를 설정할 수 없습니다. 효과적으로 설정하려면 사용자가 비밀번호를 변경할 수 있는 빈도도 제한해야 합니다.

사용자 비밀번호가 만료되지 않도록 하려면 "비밀번호가 만료되지 않음" 라디오 버튼을 선택합니다.

그렇지 않으면 "X일 후 비밀번호 만료" 라디오 버튼을 선택하여 사용자가 정기적으로 비밀번호를 변경하도록 설정한 다음, 사용자 비밀번호의 유효 일 수를 입력합니다.

비밀번호 만료를 선택한 경우 "비밀번호가 만료되기 X일 전에 경고 보내기" 필드에 비밀번호가 만료되기 며칠 전에 사용자에게 경고를 보낼지 지정할 수 있습니다.

사용자가 경고를 받으면 비밀번호는 원래 날짜에 만료됩니다. 경고를 보낸 후 충분한 경고 기간을 제공하기 위해 만료를 연장하려면 "경고에 관계 없이 만료됨" 확인란을 선택 취소합니다. 한 번의 경고와 1회 연장만 지원됩니다. 사용자가 비밀번호 만료 후에 바인드할 경우 유예 로그인은 허용되지 않습니다.

서버에서 사용자 비밀번호 구문을 검사하여 비밀번호 정책에 설정된 최소 요구 사항을 충족하는지 확인하려면 "비밀번호 구문 검사" 확인란을 선택합니다. 그런 다음 "비밀번호의 최소 길이" 텍스트 상자에 허용되는 최소 비밀번호 길이를 지정합니다.

기본적으로 디렉토리 관리자는 기록에 있는 비밀번호의 재사용 등과 같이 비밀번호 정책에 위반되는 비밀번호를 재설정할 수 없습니다. 이를 허용하려면 "디렉토리 관리자의 비밀번호 정책 생략 허용" 확인란을 선택합니다.

서버에서 비밀번호를 저장할 때 사용할 암호화 방법을 "비밀번호 암호화" 풀다운 메뉴에서 지정합니다.

계정 잠금 탭을 누르고 "계정 잠금 기능 사용" 확인란을 선택하여 다음과 같이 계정 잠금 정책을 정의합니다.

잠금을 실행하는 데 필요한 로그인 실패 횟수 및 기간를 입력합니다.

영구히 잠금 라디오 버튼을 선택하여 디렉토리 관리자가 사용자 비밀번호를 재설정할 때까지 영구 잠금을 설정합니다.

그렇지 않으면 잠금 기간 라디오 버튼을 선택하고 사용자 계정을 일시적으로 잠글 시간(분)을 입력합니다.

비밀번호 정책 변경이 끝나면 저장을 누릅니다. 새 전역 비밀번호 정책이 즉시 실행됩니다.

명령줄에서 비밀번호 정책 구성

전역 비밀번호 정책은 cn=Password Policy,cn=config 항목의 속성에 의해 정의됩니다. 이 항목에 있는 전역 정책을 변경하려면 ldapmodify 유틸리티를 사용합니다.

비밀번호 정책에 사용할 수 있는 모든 속성 정의에 대해서는 Directory Server Administration Reference의 2장, “cn=Password Policy”에서 설명합니다.

예를 들어, 비밀번호 구문 및 길이 검사는 기본적으로 사용되지 않으며 계정 잠금도 비활성화됩니다. 구문 검사를 활성화하고, 최소 길이를 8로 설정하고, 잘못된 비밀번호를 5회 입력할 경우 5분 동안 계정을 임시로 잠그려면 아래 명령을 사용합니다.

ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: cn=Password Policy,cn=config
changetype: modify
replace: passwordCheckSyntax
passwordCheckSyntax: on
-
replace: passwordMinLength
passwordMinLength: 8
-
replace: passwordLockout
passwordLockout: on
-
replace: passwordMaxFailure
passwordMaxFailure: 5
-
replace: passwordLockoutDuration
passwordLockoutDuration: 300
-
replace: passwordUnlock
passwordUnlock: on

개별 비밀번호 정책 관리

개별 비밀번호 정책은 passwordPolicy 객체 클래스가 있는 하위 항목에 정의됩니다. 디렉토리 트리에서 cn=policy name,subtree 형식의 DN이 있는 모든 항목에서 정책을 정의할 수 있습니다. Directory Server 콘솔이나 명령줄 유틸리티에서 비밀번호 정책을 정의한 다음 원하는 사용자 항목에 passwordPolicySubentry 속성을 설정하여 할당합니다.

이 절에서는 하위 트리 루트가 dc=example,dc=com인 example.com의 임시 직원들에 대한 비밀번호 정책 구현 예를 소개합니다.

콘솔에서 정책 정의

Directory Server 콘솔의 최상위 디렉토리 탭에서 개별 비밀번호 정책 하위 항목을 정의할 항목을 표시합니다.

항목을 마우스 오른쪽 버튼으로 누르고 새로 만들기 > 비밀번호 정책을 선택합니다. 또는 항목을 왼쪽 마우스 버튼으로 눌러 선택한 다음 객체 메뉴에서 새로 만들기 > 비밀번호 정책을 선택할 수도 있습니다.

비밀번호 정책 항목의 사용자 정의 편집기가 표시됩니다.

일반 필드에 이 정책의 이름 및 설명(선택 사항)을 입력합니다. 이 이름은 정책을 정의하는 하위 항목의 cn 이름 지정 속성 값이 됩니다.

비밀번호 탭을 눌러 정책의 다음 측면을 설정합니다.

"사용자가 재설정후 비밀번호를 변경해야 함" 확인란을 선택하여 사용자가 처음 로그온할 때 자신의 비밀번호를 변경하도록 지정합니다. 이 확인란을 선택하면 디렉토리 관리자만 사용자 비밀번호를 재설정할 수 있습니다. 일반 관리자는 사용자가 자신의 비밀번호를 업데이트하도록 강요할 수 없습니다.

사용자가 자신의 비밀번호를 변경할 수 있도록 허용하려면 "사용자가 비밀번호를 변경할 수 있음" 확인란을 선택합니다.

사용자가 자신의 비밀번호를 변경할 수 있는 빈도를 제한하려면 "X일 내 변경 허용" 텍스트 상자에 일 수를 입력합니다. 사용자가 원하는 대로 비밀번호를 변경할 수 있게 하려면 제한 없음 확인란을 선택합니다.

사용자가 같은 비밀번호를 계속 사용할 수 없도록 차단하려면 "비밀번호 기록 유지" 확인란을 선택하고 각 사용자별로 저장될 비밀번호의 수를 지정합니다. 이 경우 사용자는 목록에 있는 비밀번호를 설정할 수 없습니다. 효과적으로 설정하려면 사용자가 비밀번호를 변경할 수 있는 빈도도 제한해야 합니다.

사용자 비밀번호가 만료되지 않도록 하려면 "비밀번호가 만료되지 않음" 라디오 버튼을 선택합니다.

비밀번호 만료를 선택한 경우 비밀번호가 만료되기 며칠 전에 사용자에게 경고를 보낼지 지정할 수 있습니다. "비밀번호가 만료되기 X일 전에 경고 보내기" 텍스트 상자에 경고를 보낼 비밀번호 만료 전의 일 수를 입력합니다.

서버에서 비밀번호를 저장할 때 사용할 암호화 방법을 "비밀번호 암호화" 풀다운 메뉴에서 지정합니다.

잠금 탭을 누르고 "계정 잠금 기능 사용" 확인란을 선택하여 다음과 같이 계정 잠금 정책을 정의합니다.

잠금을 실행하는 데 필요한 로그인 실패 횟수 및 기간를 입력합니다.

영구히 잠금 라디오 버튼을 선택하여 디렉토리 관리자가 사용자 비밀번호를 재설정할 때까지 영구 잠금을 설정합니다.

그렇지 않으면 잠금 기간 라디오 버튼을 선택하고 사용자 계정을 일시적으로 잠글 시간(분)을 입력합니다.

사용자 정의 편집기에서 확인을 눌러 정책을 저장하고 해당 하위 항목을 작성합니다.

명령줄에서 정책 정의

이 보안 정책에서 임시 직원의 비밀번호는 100일(8 640 000초) 후에 만료되며, 비밀번호 만료 3일(259 200초) 전부터 사용자가 바인드할 때 비밀번호 만료에 대한 경고가 반환된다고 가정해 보십시오. 구문 검사를 활성화하여 비밀번호 보안에 대한 최소 검사를 강제하고, 침입자가 디렉토리 공격을 통해 비밀번호를 해독하지 못하도록 차단하는 잠금을 실행합니다. 정책의 다른 설정은 기본값을 적용합니다.

dc=example,dc=com 아래에 다음 하위 항목을 추가하여 example.com 하위 트리에 이 비밀번호 정책을 정의합니다.

ldapmodify -a -h host -p port -D "cn=Directory Manager" -w password
dn: cn=TempPolicy,dc=example,dc=com
objectClass: top
objectClass: passwordPolicy
objectClass: LDAPsubentry
cn: TempPolicy
passwordStorageScheme: SSHA
passwordChange: on
passwordMustChange: on
passwordCheckSyntax: on
passwordExp: on
passwordMinLength: 6
passwordMaxAge: 8640000
passwordMinAge: 0
passwordWarning: 259200
passwordInHistory: 6
passwordLockout: on
passwordMaxFailure: 3
passwordUnlock: on
passwordLockoutDuration: 3600
passwordResetFailureCount: 600

비밀번호 정책에 사용할 수 있는 모든 속성 정의에 대해서는 Directory Server Administration Reference의 2장, “cn=Password Policy”에서 설명합니다.

비밀번호 정책 할당

개별 비밀번호 정책을 할당하려면 해당 정책 하위 항목을 지정해야 합니다. passwordPolicySubentry 값으로 개별 항목에 정책을 추가하거나 CoS 및 역할을 사용하여 정책을 관리합니다. 사용자가 자신에게 적용되는 비밀번호 정책을 수정할 수 없도록 차단하는 액세스 제어도 설정해야 합니다.

콘솔 사용

Directory Server 콘솔은 사용자 또는 그룹에 할당된 비밀번호 정책을 관리할 수 있는 다음과 같은 인터페이스를 제공합니다.

Directory Server 콘솔의 최상위 디렉토리 탭에서 개별 비밀번호 정책을 할당하거나 수정할 사용자 또는 그룹 항목을 표시합니다.

항목을 마우스 오른쪽 버튼으로 누르고 팝업 메뉴에서 비밀번호 정책 설정을 선택합니다. 또는 항목을 왼쪽 마우스 버튼으로 눌러 선택한 다음 객체 메뉴에서 비밀번호 정책 설정을 선택할 수도 있습니다.

이 항목에 적용되는 비밀번호 정책이 비밀번호 정책 대화 상자에 표시됩니다.

전역 정책이 적용되면 할당을 눌러 디렉토리 트리에서 비밀번호 정책 하위 항목을 선택합니다.

개별 정책이 정의되어 있으면 이 정책을 바꾸거나 제거 또는 편집할 수도 있습니다. 정책 편집을 누르면 지정된 정책 하위 항목의 사용자 정의 편집기가 실행됩니다.

비밀번호 정책을 할당하거나 바꾸면 디렉토리 브라우저 대화 상자가 실행되며, 여기서 작은 키 아이콘이 표시된 비밀번호 정책 하위 항목을 찾을 수 있습니다.

정책을 변경한 경우 비밀번호 정책 대화 상자에서 확인을 누릅니다. 새 정책이 즉시 적용됩니다.

명령줄 사용

사용자 또는 그룹 항목에 비밀번호 정책을 할당하려면 비밀번호 정책의 DN을 passwordPolicySubentry 속성 값으로 추가합니다. 예를 들어, 아래 명령은 cn=TempPolicy,dc=example,dc=com을 Barbara Jensen에게 할당합니다.

ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: uid=bjensen,ou=People,dc=example,dc=com
changetype: modify
add: passwordPolicySubentry
passwordPolicySubentry: cn=TempPolicy,dc=example,dc=com

역할 및 CoS 사용

사용자와 역할을 그룹화하는 경우 CoS를 사용하여 해당 정책 하위 항목을 지정할 수 있습니다. 역할 및 CoS 사용에 대한 자세한 내용은 5장, "Identity 및 역할 관리"를 참조하십시오.

예를 들어, 아래 명령은 example.com의 임시 직원에 대한 필터링된 역할을 작성하고 이 역할이 지정된 직원에게 cn=TempPolicy,dc=example,dc=com을 할당합니다.

ldapmodify -a -h host -p port -D "cn=Directory Manager" -w password
dn: cn=TempFilter,ou=people,dc=example,dc=com
objectclass: top
objectclass: LDAPsubentry
objectclass: nsRoleDefinition
objectclass: nsComplexRoleDefinition
objectclass: nsFilteredRoleDefinition
cn: TempFilter
nsRoleFilter: (&(objectclass=person)(status=contractor))
description: filtered role for temporary employees

dn: cn=PolTempl,dc=example,dc=com
objectclass: top
objectclass: nsContainer

dn: cn="cn=TempFilter,ou=people,dc=example,dc=com",
cn=PolTempl,dc=example,dc=com
objectclass: top
objectclass: extensibleObject
objectclass: LDAPsubentry
objectclass: costemplate
cosPriority: 1
passwordPolicySubentry: cn=TempPolicy,dc=example,dc=com

dn: cn=PolCoS,dc=example,dc=com
objectclass: top
objectclass: LDAPsubentry
objectclass: cosSuperDefinition
objectclass: cosClassicDefinition
cosTemplateDN: cn=PolTempl,dc=example,dc=com
cosSpecifier: nsRole
cosAttribute: passwordPolicySubentry operational

이제 계약 직원의 상태가 지정된 사용자는 cn=TempPolicy,dc=example,dc=com 비밀번호 정책의 적용을 받습니다.

개별 비밀번호 정책 보호

사용자가 자신에게 적용되는 비밀번호 정책을 수정할 수 없도록 차단하려면 루트 항목에 다음과 같은 ACI도 추가해야 합니다.

ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: dc=example,dc=com
changetype: modify
add: aci
aci: (targetattr != "passwordPolicySubentry")(version 3.0; acl
"Allow self modification except for passwordPolicySubentry";
allow (write) (userdn ="ldap:///self");)

사용자 비밀번호 재설정

디렉토리는 사용자 항목의 userPassword 속성에 비밀번호 값을 저장합니다. 서버에 대한 액세스 제어 설정에 따라 사용자는 ldapmodify와 같은 표준 도구를 사용하여 userPassword 값을 지정한 비밀번호 정책에 맞게 설정할 수도 있습니다.

영구 계정 잠금이 발생한 경우(비밀번호 정책에서 사용자의 작동 가능 속성인 accountUnlockTime이 0이고 passwordUnlock이 off인 경우) 디렉토리 관리자로 비밀번호를 재설정하여 사용자 계정을 잠금 해제할 수 있습니다. 예를 들어, example.com의 디렉토리 사용자인 Barbara Jensen이 비밀번호를 잊어버려서 추측 시도한 후에 영구 잠금이 발생했다고 가정하면 아래 명령을 실행합니다.

ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: uid=bjensen,ou=People,dc=example,dc=com
changetype: modify
replace: userPassword
userPassword: ChAnGeMe

비밀번호 정책에서 passwordMustChange가 on으로 설정되어 있으면 Barbara는 다음에 바인드할 때 자신의 비밀번호를 변경해야 합니다. 가능하면 보안 채널을 통해 비밀번호가 ChAnGeMe로 변경되었다고 알려주십시오.

사용자와 역할 비활성화 및 활성화

개별 사용자 계정이나 계정 집합을 일시적으로 비활성화할 수 있습니다. 비활성화된 사용자는 디렉토리에 바인드할 수 없으며 인증 작업이 실패합니다.

이 절에 설명된 절차에 따라 사용자와 역할을 동일한 방식으로 비활성화할 수 있습니다. 하지만 역할을 비활성화하는 경우 역할 자체가 아닌 이 역할의 구성원이 비활성화됩니다. 역할에 대한 일반적인 내용 및 역할이 특히 액세스 제어와 어떻게 상호 작용하는지에 대한 자세한 설명은 5장, "Identity 및 역할 관리"를 참조하십시오.

콘솔에서 사용자 및 역할 활성화 설정

Directory Server 콘솔의 최상위 디렉토리 탭에서 디렉토리 트리를 탐색하여 비활성화하거나 다시 활성화할 사용자 또는 역할 항목을 표시합니다.

항목을 두 번 눌러 해당 사용자 정의 편집기를 표시하고 왼쪽 열에서 계정 탭을 누릅니다.

오른쪽 패널에 항목의 활성화 상태가 표시됩니다.

이 항목에 해당하는 사용자 또는 역할을 비활성화하거나 활성화하는 버튼을 누릅니다. 편집기의 사용자 또는 역할 아이콘에 빨간색 상자와 막대가 표시되면 해당 항목은 비활성화됩니다.

확인을 눌러 대화 상자를 닫고 항목의 새 활성화 상태를 저장합니다.

사용자 정의 편집기를 쉽게 여는 방법으로는 항목을 선택하고 객체 메뉴에서 비활성화 또는 활성화를 선택할 수도 있습니다.

콘솔의 보기 > 표시 메뉴에서 비활성화 상태를 선택하여 디렉토리 객체의 활성화 상태를 표시할 수 있습니다. 이렇게 하면 모든 비활성화 항목의 아이콘에 빨간색 막대가 표시됩니다. 직접 비활성화되었든 아니면 역할 구성원을 통해 비활성화되었든 관계 없이 사용자 항목의 올바른 활성화 상태가 표시됩니다.

명령줄에서 사용자 및 역할 활성화 설정

사용자 계정 또는 역할 구성원을 비활성화하려면 directoryserver account-inactivate 명령을 사용합니다. 사용자 또는 역할을 활성화하거나 다시 활성화하려면 directoryserver account-activate 명령을 사용합니다.

아래 명령은 이 명령을 사용하여 Barbara Jensen의 사용자 계정을 비활성화하거나 다시 활성화하는 방법을 보여줍니다.

	# /usr/sbin/directoryserver account-inactivate # /usr/sbin/directoryserver account-activate

/usr/sbin/directoryserver account-inactivate -h host -p port -D "cn=Directory\
Manager" -w password -I "uid=bjensen,ou=People,dc=example,dc=com"

/usr/sbin/directoryserver account-activate -h host -p port -D "cn=Directory\
Manager" -w password -I "uid=bjensen,ou=People,dc=example,dc=com"

두 명령에서 -I 옵션은 활성화 상태를 설정할 사용자 또는 역할의 DN을 지정합니다.

개별 자원 제한 설정

디렉토리에 바인드하는 클라이언트 응용 프로그램의 특수 작업 속성 값을 사용하여 검색 작업에 대한 서버 제한을 제어할 수 있습니다. 다음과 같은 검색 작업 제한을 설정할 수 있습니다.

조회 제한은 검색 작업 시 조사할 최대 항목 수를 지정합니다.

크기 제한은 서버에서 검색 작업에 응답하여 클라이언트 응용 프로그램에 반환하는 최대 항목 수를 지정합니다.

시간 제한은 서버에서 검색 작업 처리에 사용할 수 있는 최대 시간을 지정합니다.

유휴 시간 초과는 서버에서 연결을 중지할 때까지 클라이언트의 서버 연결을 유휴 상태로 유지할 수 있는 시간을 지정합니다.



주	기본적으로 디렉토리 관리자가 사용할 수 있는 자원에는 제한이 없습니다.

특정 사용자에 대해 설정한 자원 제한은 전역 서버 구성에서 설정한 기본 자원 제한보다 우선합니다. 사용자 항목이 포함된 접미어에 있는 아래 ACI에서 개별 자원 제한이 저장된 속성의 자체 수정을 차단하는지 확인해야 합니다.

(targetattr != "nsroledn || aci || nsLookThroughLimit || nsSizeLimit || nsTimeLimit || nsIdleTimeout || passwordPolicySubentry || passwordExpirationTime || passwordExpWarned || passwordRetryCount || retryCountResetTime || accountUnlockTime || passwordHistory || passwordAllowChangeTime")(version 3.0; acl "Allow self entry modification except for nsroledn, aci, resource limit attributes, passwordPolicySubentry and password policy state attributes"; allow (write)userdn ="ldap:///self";)

콘솔에서 자원 제한 설정

Directory Server 콘솔의 최상위 수준 디렉토리 탭에서 디렉토리 트리를 탐색하여 자원 제한을 설정할 사용자를 표시합니다.

항목을 두 번 눌러 해당 사용자 정의 편집기를 표시하고 왼쪽 열에서 계정 탭을 누릅니다. 오른쪽 패널에 현재 항목에 설정된 제한이 표시됩니다.

위에 설명된 자원 제한에 대한 네 개의 텍스트 필드에 값을 입력합니다. -1의 값은 해당 자원에 대한 제한이 없음을 나타냅니다.

입력이 끝나면 확인을 눌러 새 제한을 저장합니다.

명령줄에서 자원 제한 설정

ldapmodify 명령을 사용하여 다음과 같은 사용자 항목 속성을 설정함으로써 해당 사용자의 자원 사용을 제한할 수 있습니다.


속성	설명
nsLookThroughLimit	검색 작업 시 조사할 수 있는 항목 수를 지정하므로 속성 값은 항목 수가 됩니다. 속성 값이 -1이면 제한 없음을 나타냅니다.
nsSizeLimit	서버에서 검색 작업에 응답하여 클라이언트 응용 프로그램에 반환하는 최대 항목 수를 지정합니다. 속성 값이 -1이면 제한 없음을 나타냅니다.
nsTimeLimit	서버에서 검색 작업 처리에 사용할 수 있는 최대 시간을 지정합니다. 속성 값이 -1이면 시간 제한 없음을 나타냅니다.
nsIdleTimeout	연결이 끊길 때까지 서버 연결을 유휴 상태로 유지할 수 있는 시간을 지정합니다. 값은 초 단위로 설정됩니다. 속성 값이 -1이면 제한 없음을 나타냅니다.

예를 들어, ldapmodify 명령을 다음과 같이 실행하여 항목에 크기 제한을 설정할 수 있습니다.

ldapmodify -h host -p port -D "cn=Directory Manager" -w password
dn: uid=bjensen,ou=People,dc=example,dc=com
changetype: modify
add: nsSizeLimit
nsSizeLimit: 500

위의 ldapmodify 명령문은 nsSizeLimit 속성을 Barbara Jensen의 항목에 추가하고 검색 결과로 반환되는 최대 항목 수를 500개로 제한합니다.

이전 목차 색인 다음
Sun Java(TM) System Directory Server 5 2004Q2 관리 설명서