帐户锁定策略

本部分介绍用于管理帐户锁定的策略属性。

目录服务器帐户一般指用户条目，以及用户在目录上执行操作的权限。每个帐户都与绑定 DN 和用户密码相关联。当入侵者看上去要尝试破解密码时，您希望目录服务器锁定帐户。锁定可阻止入侵者使用帐户进行绑定。锁定还可阻止入侵者继续进行攻击。

作为管理员，您还可以手动停用某个帐户或共享某个角色的所有用户的帐户。有关说明，请参见手动锁定帐户。但是，密码策略的一个重要部分就是指定目录服务器在什么情况下锁定帐户，而不需要您的干预。

首先，您必须指定目录服务器可以在发生太多失败绑定时使用 pwdLockout(5dsat) 自动锁定帐户。目录服务器会跟踪尝试绑定到帐户的连续失败次数。可以使用 pwdMaxFailure(5dsat) 指定在目录服务器锁定帐户之前所允许的连续失败次数。

目录服务器将严格按照密码策略锁定帐户。此操作完全为机械性操作。帐户锁定的原因可能不是入侵者对帐户发动攻击，而是用户键入了错误的密码。因此，可以使用 pwdFailureCountInterval(5dsat) 指定目录服务器在清除失败尝试记录之前等待下一次尝试的时间。可以使用 pwdLockoutDuration(5dsat) 指定在目录服务器自动对帐户解除锁定之前锁定持续的时间。如果用户并非出于恶意而犯下了合理错误，管理员无需介入帐户解除锁定。

如果在整个复制拓扑中复制用户数据，则会复制锁定计数器和锁定属性。pwdIsLockoutPrioritized(5dsat) 属性用于确定是否使用较高优先级复制锁定属性更新，因此在大多数情况下，应该将此属性保留为 TRUE。这样，用户在被锁定之前只能进行 pwdMaxFailure 次绑定到副本的尝试，当用户尝试绑定到更多副本时，尝试次数可能会更少。请参见《Sun Java System Directory Server Enterprise Edition 6.0 Deployment Planning Guide》中的“Preventing Authentication by Using Global Account Lockout”。包含全局锁定的文档将说明如何确保用户在进行 pwdMaxFailure 次尝试之后，才会在整个复制拓扑中将其锁定。