第 7 章   用户帐户管理


当用户连接到目录服务器时，首先将对用户进行身份验证。然后，目录可根据验证过程中建立的标识向用户授予访问权限和资源限制。

本章介绍用于用户帐户管理的任务，包括为目录配置口令和帐户锁定策略、拒绝用户组对目录的访问、根据其绑定 DN 限制用户可用的系统资源等。

本章包含以下几部分：

• 管理口令策略

• 去活用户和角色

• 基于绑定 DN 设置资源限制

管理口令策略

---

口令策略通过执行以下操作，可以将使用口令的风险降到最低：

• 用户必须按计划更改口令

• 用户必须提供非一般性的口令

为目录建立口令策略后，即可通过配置帐户锁定策略来保护用户口令，避免它被潜在线程所使用。对于通过反复猜测用户口令而试图侵入目录的黑客而言，帐户锁定可保护帐户免遭这些黑客的攻击。

本部分提供有关配置口令和帐户锁定策略的信息。其中包括以下操作：

• “配置口令策略”

• “设置用户口令”

• “配置帐户锁定策略”

• “在复制环境中管理口令策略”

配置口令策略

配置的口令策略将应用于目录中除 Directory Manager 以外的所有用户。口令策略由以下信息组成：

口令添加和修改信息。口令信息包括口令语法和口令历史详细信息。

绑定信息。绑定信息包括跟踪绑定失败和口令时效属性。

本部分介绍下列有关配置口令策略的过程：

• “使用控制台配置口令策略”

• “使用命令行配置口令策略”

配置完口令策略之后，建议配置帐户锁定策略。有关配置帐户锁定策略的详细信息，请参阅“配置帐户锁定策略”。

使用控制台配置口令策略

要设置或修改 iPlanet Directory Server 的口令策略：

1. 在 iPlanet Directory Server Console 上，选择“配置”选项卡，然后选择“数据”节点。

2. 在右侧窗口中，选择“口令”选项卡。

   该选项卡中包含 iPlanet Directory Server 的口令策略。

3. 通过选中“复位后用户必须更改口令”复选框，可指定用户必须在首次登录时更改自己的口令。

   如果选中该复选框，则仅有目录管理员被授予重置用户口令的权限（使用步骤 9 中所述的字段）。普通管理用户不能强制用户更新其口令。

4. 要指定用户可更改自己的口令，请选中“用户可更改口令”复选框。

5. 通过在“允许更改：X 天”文本框中输入天数，可以指定用户在规定时间内不能更改其口令。

6. 要配置服务器以维护每个用户所用口令的历史记录列表，请选中“保留口令的历史”复选框。在“记住 X 个口令”文本框中，指定希望服务器为每个用户保留的口令个数。

7. 如果不想让用户口令过期，则选择“口令没有过期”单选按钮。

8. 如果要强制用户必须定期更改口令，则选择“口令到期之前 X 天”单选按钮，然后输入用户口令的有效天数。

9. 如果已选择“口令到期之前 X 天”单选按钮，则需指定在口令到期之前多长时间向用户发送警告。在“发送警告：X 口令到期之前的天数”文本框中输入口令到期之前多少天开始发送警告。

10. 如果要让服务器检查用户口令的语法以确保其满足在口令策略中设置的最低要求，则选中“检查口令语法”复选框。然后，在“口令最小长度”文本框中指定可以接受的最短口令长度。

11. 从“口令加密”下拉菜单中指定存储口令时想让服务器使用的加密方法。

    有关加密方法的详细信息，请参见表 7-1 中的 passwordStorageScheme 属性。

    由于目录可根据其在目录中找到的现有加密方法动态地创建菜单，因此“口令加密”菜单中可能还包含其它加密方法。

12. 更改完口令策略之后，单击“保存”。

使用命令行配置口令策略

该部分介绍设置用于创建服务器口令策略的属性。使用 ldapmodify 更改 cn=config 条目中的这些属性。

下表描述了可用于配置口令策略的属性：

表 7-1    口令策略属性

属性名称	定义
passwordMustChange	当为 on 时，该属性会要求用户在首次登录目录时或目录管理员重置口令后更改其口令。当为 on 时，即使已禁用用户定义的口令，还是会要求用户更改其口令。 如果选择将该属性设置为 off，则由目录管理员分配的口令就不会遵循任何明确的约定，且会比较难于查找。 该属性默认情况下为 off。
passwordChange	当为 on 时，该属性指示用户可更改自己的口令。如果选择让用户设置自己的口令，则要冒用户选择容易记忆的口令的风险。 但是，为用户设置好的口令需要管理员做出极大努力。而向用户提供对其无意义的口令时，用户就可能会将口令写在易于发现的地方，这是比较危险的。 该属性默认情况下为 on。
passwordExp	当为 on 时，该属性指示用户口令将在 passwordMaxAge 属性给定的时间间隔之后到期。使口令到期有助于保护目录数据，因为口令使用的时间越长，则它越有可能被发现。 该属性默认情况下为 off。
passwordMaxAge	该属性指示用户密码在多少秒后过期。要使用该属性，必须使用 passwordExp 属性启用口令到期功能。 常用策略是使口令每 30 至 90 天到期。默认情况下，口令的最长有效期设置为 8640000 秒（100 天）。
passwordWarning	指示在用户口令即将到期以前多少秒向该用户发送警告消息。 根据 LDAP 客户机应用程序，系统在发送警告时可能会提示用户更改其口令。iPlanet Directory Express 和 Directory Server Gateway 都提供该功能。 默认情况下，目录将在口令到期前 86400 秒（1 天）发送警告。但在设置警告消息之前，口令永不会过期。因此，如果用户绑定到 iPlanet Directory Server 的时间不超过 passwordMaxAge，则用户仍会及时获得更改口令的警告消息。
passwordCheckSyntax	当为 on 时，该属性指示在保存口令以前将由服务器检查该口令的语法。 检查口令语法可确认口令字符串达到或超过了最短口令长度要求，且该字符串中不包含任何一般性的词。一般性的词是指存储在用户条目的 uid、cn、sn、givenName、ou 或 mail 属性中的属性值。 该属性默认情况下为 off。
passwordMinLength	该属性指定口令中必须使用的最少字符数。口令越短，则破译起来就越容易。 您可以要求口令长度为 2 至 512 个字符。一般而言，长度为 6 至 8 个字符的口令已难于破译，而同时也短到使用户不用写下来即可记住。 该属性默认情况下为 6 个字符。
passwordMinAge	该属性指示用户在可更改自己的口令之前必须等待多少秒。该属性与 passwordInHistory 属性配合使用时，可防止用户重新使用旧口令。 例如，将口令的最短有效期设置为 2 天来防止用户在一个会话过程中反复更改自己的口令，从而避免用户轮换口令历史记录并重新使用已从历史记录中删除的旧口令。 可指定为 0 至 2147472000 秒（24,855 天）。值为 0 指示用户可立即更改口令。 该属性默认值为 0。
passwordHistory	该属性指示目录是否存储口令历史记录。设置为 on 时，目录将在历史记录的 passwordInHistory 属性中存储指定的口令数。如果用户试图重新使用某个口令，则将拒绝用户使用该口令。 将该属性设置为 off 时，则保留历史记录中存储的任何口令。如果该属性重新设置为 on，则在禁用该属性之前，用户将不能重新使用记录在历史记录中的口令。 该属性默认情况下为 off，意味着用户可重新使用旧口令。
passwordInHistory	该属性指示目录在历史记录中存储的口令数。可在历史记录中存储 2 至 24 个口令。除非将 passwordHistory 属性设置为 on，否则将无法启用该功能。 该属性默认情况下为 6 个字符。
passwordStorageScheme	该属性指定用于存储 Directory Server 口令的加密类型。iPlanet Directory Server 支持以下加密类型： SSHA（经验安全散列算法）。推荐该方法的原因是因为它最安全。这是默认的方法。 SHA（安全散列算法）。一种单向散列算法，是 Directory Server 4.x 中的默认加密模式。 CRYPT。为实现与 UNIX 口令的兼容而提供的 UNIX 加密算法。 clear。此加密类型指示口令将显示为纯文本。 注意，使用 CRYPT、SHA 或 SSHA 格式存储的口令将无法用于通过 SASL Digest MD5 进行安全登录。 如果要提供自定义存储模式，请咨询 iPlanet 专业服务。

设置用户口令

对于任何条目而言，仅当该条目有 userpassword 属性且还未去活时，才可用于目录绑定。因为用户口令存储在目录中，所以可使用通常用于更新目录的 LDAP 操作来设置或重置用户口令。

有关创建和修改目录条目的信息，请参阅第 2 章“创建目录项”。有关去活用户帐户的信息，请参阅“去活用户和角色”。

也可使用 Administration Server 或 iPlanet Directory Server Console 的“用户和组”区域来设置或重置用户口令。有关如何使用“用户和组”区域的信息，请参阅 Administration Server 中的可用在线帮助。有关如何使用 Gateway 创建或修改目录项的信息，请参阅 Gateway 中的可用在线帮助。

配置帐户锁定策略

锁定策略与口令策略配合工作时，可以提高安全性。对于通过反复猜测用户口令而试图侵入目录的黑客而言，帐户锁定可保护帐户免遭这些黑客的攻击。帐户锁定计数器是目录服务器的局部功能。该功能未被设计为目录服务的全局锁定，也就是说，即使在复制环境中，帐户锁定计数器也不被复制。有关详细信息，请参阅“在复制环境中管理口令策略”。

可设置口令策略，从而使特定用户在绑定尝试失败次数达到给定数目后被锁定在目录外。

下列部分介绍如何配置帐户锁定策略：

• “使用控制台配置帐户锁定策略”

• “使用命令行配置帐户锁定策略”

使用控制台配置帐户锁定策略

要安装或修改 iPlanet Directory Server 的帐户锁定策略：

1. 在 iPlanet Directory Server Console 上，选择“配置”选项卡，然后选择“数据”节点。

2. 在右侧窗口中，选择“帐户锁定”选项卡。

3. 要启用帐户锁定，则选中“帐户可能被锁定”复选框。

4. 在“锁定帐户之前 X 次登录失败”文本框中，输入允许绑定失败的最大次数。对于超出此处所指定限制值的用户，服务器将予以锁定。

5. 在“复位失败，计数上限为 X 分钟”文本框中，输入将绑定失败计数器重置为 0 之前服务器要等待的分钟数。

6. 设置要将用户锁定在目录之外的时间间隔。

   选择“永远锁定”单选按钮，从而在管理员重置用户口令之前一直锁定用户。

   通过选择“锁定持续时间”单选按钮并在文本框中输入时间（以分钟计），可以设置具体的锁定时间。

7. 更改完帐户锁定策略后，单击“保存”。

使用命令行配置帐户锁定策略

本部分介绍的属性可用于创建帐户锁定策略，从而保护存储在服务器中的口令。使用 ldapmodify 更改 cn=config 条目中的这些属性。

下表列出了可用于配置帐户锁定策略的属性：

表 7-2    帐户锁定策略属性

属性名称	定义
passwordLockout	该属性指示在绑定尝试失败次数达到给定数目后是否将用户锁定在目录之外。利用 passwordMaxFailure 属性，可以设定在锁定用户以前绑定尝试失败的次数。 您可以将用户锁定一段时间，也可以设定在管理员重置口令以前一直锁定用户。 该属性默认情况下设置为 off，意味着用户将不会被锁定在目录之外。
passwordMaxFailure	该属性指示在将用户锁定于目录之外以前绑定尝试失败的次数。 该属性仅当 passwordLockout 属性设置为 on 时生效。 该属性默认情况下为 3 次绑定失败。
passwordLockoutDuration	该属性指示用户被锁定在目录之外的时间（以秒计）。使用 passwordUnlock 属性，也可指定在管理员重置用户的口令之前一直锁定用户。 默认情况下将锁定用户 3600 秒。
passwordResetFailureCount	该属性指定重置口令故障计数器之前等待的时间（以秒计）。 每次从用户帐户发送无效的口令时，口令故障计数器都会增加 1。如果将 passwordLockout 属性设置为 on，则当计数器达到 passwordMaxFailure 属性指定的失败数时，用户将被锁定在目录之外。帐户将在 passwordLockoutDuration 属性指定的时间间隔内被锁定，之后故障计数器将被重置为 0。 因为计数器的用途是当黑客设法获得访问系统的权限时进行测量，所以计数器必须保持较长的时间，以便检测到黑客。但是，如果计数器在一段时间内无限增加，则可能会在无意中锁定有效用户。 重置口令故障计数器属性默认情况下被设置为 600 秒。

在复制环境中管理口令策略

如下所示，复制环境中将强制使用口令和帐户锁定策略：

• 在原版数据服务器上强制使用口令策略。

• 在所有参与复制环境的服务器上强制使用帐户锁定。

目录中的部分口令策略信息将会被复制。所复制的属性包括：

• passwordMinAge 和 passwordMaxAge

• passwordExp

• passwordWarning

但是，配置信息将保存在本地且不被复制。这些信息包括口令语法和口令修改的历史记录。帐户锁定计数器也不会被复制。

在复制环境中配置口令策略时，需要考虑以下几点：

• 来自口令即将到期的服务器的警告将由所有副本发布。该信息将在每台服务器上本地保存到。因此，如果用户依次绑定到几个副本上，就会多次接收到相同的警告信息。此外，如果用户更改口令，则将该信息过滤给副本时可能会占用较长的时间。如果用户更改口令并立即重新绑定，则在副本注册这些更改之前，用户可能会发现绑定失败。

• 您可能希望所有的服务器发生相同的绑定行为（包括原版和副本）。请确保每台服务器上创建的口令策略配置信息相同。

• 在多原版环境中，帐户锁定计数器的工作方式可能与预计的有所不同。

• 为复制所创建的条目（例如服务器身份）需要有永不到期的口令。要确保这些特殊用户拥有永不到期的口令，请向条目中添加 passwordExpirationTime 属性，同时为其赋值 20380119031407Z（有效范围的上限）。

去活用户和角色

---

您可以临时去活单个用户帐户或一组帐户。去活后，用户即无法绑定到目录。身份验证操作将失败。

使用操作属性 nsAccountLock 可以去活用户和角色。条目中包含值为 true 的 nsAccountLock 属性时，服务器将拒绝绑定。

去活用户和角色的操作过程相同。但在去活角色时，所去活的是角色成员，而不是角色条目本身。有关角色的详细信息，尤其是角色与访问控制之间相互作用的详细信息，请参阅第 5 章“高级条目管理”。

本部分的后续内容将介绍以下过程：

• “使用控制台去活用户和角色”

• “使用命令行去活用户和角色”

• “使用控制台激活用户和角色”

• “使用命令行激活用户和角色”

  
  

  ---

  警告	数据库上的根条目（对应于根后缀或子后缀的条目）是无法去活的。 有关创建根后缀或子后缀条目的详细信息，请参阅第 2 章“创建目录项”。有关创建根后缀或子后缀的详细信息，请参阅第 3 章“配置目录数据库”。

  ---

  
  

使用控制台去活用户和角色

下列过程说明如何使用控制台来去活用户或角色：

1. 在 Directory Server Console 中，选择“目录”选项卡。

2. 浏览左侧导航窗口中的导航树，然后双击要去活的用户或角色。

   此时显示“编辑项目”对话框。

   作为一种捷径，也可从“对象”菜单中选择“去活”。

3. 单击左侧窗口中的“帐户”。右侧窗口指示角色或用户已处于去活状态。单击“激活”可激活用户或角色。

4. 单击“确定”以关闭对话框并保存更改。

   去活后，通过从“视图”菜单中选择“去活状态”，即可查看对象的状态。对象的图标随即出现在控制台的右侧窗口中，上面有一道红色斜杠。

使用命令行去活用户和角色

要去活用户帐户，请使用 /usr/sbin/directoryserver account-inactivate 命令。

# /usr/sbin/directoryserver account-inactivate

下例说明如何使用此命令来去活 Joe Frasier 的用户帐户：

/usr/sbin/directoryserver account-inactivate -h server.siroe.com \
-p 389 -D "cn=Directory Manager" -w password \
-I "uid=jfrasier,ou=people,dc=siroe,dc=com"

下表说明了示例中所用的选项：

表 7-3    示例中所用的 account-inactivate 选项说明

选项	说明
-h	命名目录服务器的主机。
-p	指定目录服务器使用的端口。
-D	指定目录管理员的 DN。
-w	指定目录管理员的口令。
-I	指定要去活的用户帐户或角色的 DN。

使用控制台激活用户和角色

下列过程说明如何使用控制台来激活用户或角色：

1. 在 Directory Server Console 中，选择“目录”选项卡。

2. 浏览左侧导航窗口中的导航树，然后双击所要激活的用户或角色。

   此时显示“编辑项目”对话框。

   作为一种捷径，也可从“对象”菜单中选择“激活”。

3. 单击左侧窗口中的“帐户”。右侧窗口指示角色或用户已处于激活状态。单击“激活”可激活用户或角色。

4. 如果用户或角色是另一个去活角色的成员，则控制台中将显示用于查看去活角色的选项。单击“显示不活动的角色”以查看用户或角色所属的角色列表。

5. 完成后，单击“确定”。

   重新激活后，可通过从“视图”菜单中选择“去活状态”来查看对象的状态。控制台右侧窗口中的角色或用户图标将正常显示。贯穿图标、表明处于非活动状态的红色斜杠将消失。

使用命令行激活用户和角色

要去活用户帐户，请使用 /usr/sbin/directoryserver account-inactivate 命令。

# /usr/sbin/directoryserver account-activate

下例说明如何使用 account-activate 命令来激活 Joe Frasier 的用户帐户：

/usr/sbin/directoryserver account-activate -h server.siroe.com \
-p 389 -D "cn=Directory Manager" -w password \
-I "uid=jfrasier,ou=people,dc=siroe,dc=com"

下表说明了示例中所用的选项：

表 7-4    示例中所用的 account-activate 选项说明

选项	说明
-h	命名目录服务器的主机。
-p	指定目录服务器使用的端口。
-D	指定目录管理员的 DN。
-w	指定目录管理员的口令。
-I	指定要激活的用户帐户或角色的 DN。

基于绑定 DN 设置资源限制

---

对于绑定到目录上的客户机应用程序而言，可以使用特殊的操作属性值来控制服务器对搜索操作的限制。可设置以下搜索操作限制：

审核限制。指定搜索操作中所检查的条目数。

大小限制。指定服务器响应搜索操作而返回给客户机应用程序的最大条目数。

时间限制。指定处理搜索操作时服务器所用的最长时间。

空闲超时。指定断开连接前，服务器的连接处于空闲状态的时间。

---

注意	默认情况下，目录管理员可接收无限的资源。

---

为客户机应用程序设置的资源限制优先于在全局服务器配置中设置的缺省资源限制。

本部分说明以下过程：

• “使用控制台设置资源限制”

• “使用命令行设置资源限制”

使用控制台设置资源限制

下列过程说明如何使用控制台来设置用户或角色的资源限制：

1. 在 Directory Server Console 中，选择“目录”选项卡。

2. 浏览左侧导航窗口中的导航树，然后双击要为其设置资源限制的用户或角色。

   此时显示“编辑项目”对话框。

3. 单击左侧窗口中的“帐户”。右侧窗口中包含可在“资源限制”部分设置的四种限制。

   输入值为 -1 时表示无限制。

4. 完成后，单击“确定”。

使用命令行设置资源限制

使用命令行可以为每个条目设置下列操作属性。使用 ldapmodify 可以将以下属性添加到条目中：

属性	说明
nsLookThroughLimit	指定搜索操作中所检查的条目数。指定为条目数。赋予该属性值为 -1 时表示无限制。
nsSizeLimit	指定服务器响应搜索操作而返回给客户机应用程序的最大条目数。赋予该属性值为 -1 时表示无限制。
nsTimeLimit	指定处理搜索操作时服务器所用的最长时间。赋予该属性值为 -1 时表示无时间限制。
nsIdleTimeout	指定断开连接前服务器连接处于空闲状态的时间。值的单位为秒。赋予该属性值为 -1 时表示无限制。

例如，通过执行 ldapmodify 可以设置大小限制，如下所示：

ldapmodify -h myserver -p 389 -D "cn=directory manager" -w secretpwd
dn: uid=bjensen,ou=people,dc=siroe,dc=com
changetype: modify
add:nsSizeLimit
nsSizeLimit: 500

ldapmodify 语句将 nsSizeLimit 属性添加到 Babs Jensen 条目中，并将其搜索返回的大小限制为 500 个条目。