“验证服务”提供这样一项功能:在验证失败次数超过某个特定值后将锁定用户。此功能默认情况下是关闭的,但是可以使用 Access Manager 控制台启用它。
只有抛出“密码无效”异常的模块可以使用“帐户锁定”功能。
“核心验证”服务包含用于启用和自定义此功能的属性,包括但不限于:
登录失败锁定模式,启用帐户锁定。
登录失败锁定计数,定义用户被锁定之前可以尝试验证的次数。此计数仅对单个用户 ID 有效;只有同一个用户 ID 失败次数达到指定的次数后才会被锁定。
登录失败锁定间隔,定义在锁定用户之前必须达到“登录失败锁定计数”值的时间(以分钟为单位)。
要发送锁定通知的电子邮件地址,指定接收用户锁定通知的电子邮件地址。
N 次失败后警告用户,指定在向用户显示警告消息之前可以发生的验证失败次数。这允许管理员在用户得到即将锁定的警告之后设置附加的登录尝试次数。
登录失败锁定时间,定义用户在锁定后再次尝试验证前所必须等待的时间(以分钟为单位)。
锁定属性名,定义用户概要文件中的哪一个 LDAP 属性针对“物理锁定”设置为不活动。
锁定属性值,定义在锁定属性名中指定的 LDAP 属性将设置为:不活动或活动。
有关任何帐户锁定的电子邮件通知都会发送给管理员。(还会记录帐户锁定活动。)
有关在 Microsoft® Windows 2000 操作系统上使用此功能的特殊说明,参见附录 A,“AMConfig.properties 文件”中的“简单邮件传输协议 (SMTP)”。”
Access Manager 支持两种类型的帐户锁定:“物理锁定”和“内存锁定”,具体在以下几节中定义。
这是 Access Manager 的默认锁定行为。通过将用户概要文件中 LDAP 属性的状态更改为不活动可以启动此锁定。锁定属性名属性定义用来进行锁定的 LDAP 属性。
别名用户是通过配置 LDAP 配置文件中的“用户别名列表属性”(amUser.xml 中的 iplanet-am-user-alias-list) 映射到现有 LDAP 用户概要文件的用户。别名用户可以通过将 iplanet-am-user-alias-list 添加到“核心验证服务”中的“别名搜索属性名称”字段来进行验证。也就是说,如果别名用户被锁定,则该别名用户映射至的实际 LDAP 配置文件也将被锁定。这只适合于 LDAP 及“成员资格”以外的验证模块的物理锁定。
将登录失败锁定时间属性的值更改为大于 0,可启用内存锁定。用户的帐户会在内存中锁定指定的分钟数。 帐户将在经过该时间段之后解除锁定。以下是使用内存锁定功能时的一些特殊注意事项:
如果重新启动 Access Manager,所有内存中锁定的帐户都将解除锁定。
如果用户的帐户在内存中锁定,而管理员将帐户锁定机制改为物理锁定(通过将锁定时间设置回 0),则用户的帐户将在内存中解除锁定,锁定计数也会重置。
内存锁定后,当使用 LDAP 和“成员资格”以外的验证模块时,如果用户尝试用正确的密码登录,将返回用户在此领域中没有配置文件错误,而不是“用户无效”错误。
如果在用户的概要文件中设置了“失败 URL”属性,则无论是锁定警告消息,还是表示其帐户已锁定的消息,都不会显示;用户将被重定向至定义的 URL。