帳號封鎖策略

本節說明決定帳號封鎖的策略屬性。

目錄伺服器帳號大致表示使用者項目，以及該使用者在目錄上執行作業所具有的權限。每個帳號會與連結 DN 及使用者密碼相關。當出現入侵者嘗試破解密碼時，希望目錄伺服器會鎖定帳號。鎖定功能可避免入侵者使用帳號進行連結，也能避免入侵者繼續攻擊。

身為管理員，您也可以手動停用共用一個角色的所有使用者之帳號。如需相關指示，請參閱手動鎖定帳號。此外，密碼策略的主要部分必須在無人介入且目錄伺服器鎖定帳號的情況下指定。

首先，您必須指定目錄伺服器可以使用 pwdLockout(5dsat) 在發生太多失敗連結時，自動鎖定帳號。目錄伺服器會記錄嘗試連結帳號的連續失敗次數。您可以使用 pwdMaxFailure(5dsat) 指定在目錄伺服器鎖定帳號之前可允許的連續失敗次數。

目錄伺服器會嚴守密碼策略鎖定帳號。此純粹為機械化作業。帳號鎖定的原因可能不是因為入侵者對帳號發動攻擊，而是因為使用者鍵入的密碼不正確。因此，您可以使用 pwdFailureCountInterval(5dsat) 指定目錄伺服器清除失敗嘗試的記錄之前，等待下一次嘗試的時間。您可以使用 pwdLockoutDuration(5dsat) 指定目錄伺服器自動解除鎖定帳號之前，封鎖應持續的時間。如果使用者的錯誤有正當理由而不是出於惡意，管理員不須介入解除鎖定使用者帳號。

如果在整個複寫拓樸中複寫使用者資料，也會複寫封鎖計數器與封鎖屬性。pwdIsLockoutPrioritized(5dsat) 屬性可決定是否以更高的優先權複寫封鎖屬性的更新，因此在大多數情況下，此屬性應為 TRUE。因此，使用者在遭封鎖之前，僅能嘗試連結至一個複本 pwdMaxFailure 次，當使用者嘗試更多複本時，嘗試次數可能變少。另請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Deployment Planning Guide」中的「Preventing Authentication by Using Global Account Lockout」。包含全域封鎖的文件說明如何確定使用者嘗試 pwdMaxFailure 次，才會在整個複寫拓樸中遭封鎖。