帳號封鎖策略

本節說明決定帳號封鎖的策略屬性。

目錄伺服器帳號大致表示使用者項目，以及該使用者在目錄上執行作業所具有的權限。每個帳號會與連結 DN 及使用者密碼相關。當出現入侵者嘗試破解密碼時，希望目錄伺服器會鎖定帳號。鎖定功能可避免入侵者使用帳號進行連結，也能避免入侵者繼續攻擊。

身為管理員，您也可以手動停用共用一個角色的所有使用者之帳號。如需相關指示，請參閱手動鎖定帳號。此外，密碼策略的主要部分必須在無人介入且目錄伺服器鎖定帳號的情況下指定。

首先，您必須指定目錄伺服器可以使用 pwdLockout(5dsat) 在發生太多失敗連結時，自動鎖定帳號。目錄伺服器會記錄嘗試連結帳號的連續失敗次數。您可以使用 pwdMaxFailure(5dsat) 指定在目錄伺服器鎖定帳號之前可允許的連續失敗次數。

目錄伺服器會嚴守密碼策略鎖定帳號。此純粹為機械化作業。帳號鎖定的原因可能不是因為入侵者對帳號發動攻擊，而是因為使用者鍵入的密碼不正確。因此，您可以使用 pwdFailureCountInterval(5dsat) 指定目錄伺服器清除失敗嘗試的記錄之前，等待下一次嘗試的時間。您可以使用 pwdLockoutDuration(5dsat) 指定目錄伺服器自動解除鎖定帳號之前，封鎖應持續的時間。如果使用者的錯誤有正當理由而不是出於惡意，管理員不須介入解除鎖定使用者帳號。

如果在整個複寫拓樸中複寫了您的使用者資料，則也會連同其他項目資料一起複寫封鎖屬性。pwdIsLockoutPrioritized(5dsat) 屬性的預設設定為 TRUE，因此封鎖屬性的更新會以較高的優先權進行複寫。因此會限制使用者在嘗試連結至任何單一複本連續失敗 pwdMaxFailure 次後封鎖該複本，此嘗試次數可能會比其他複本封鎖前的嘗試次數還要少。如需有關如何確定使用者確實達到嘗試次數 pwdMaxFailure 後，再於整個複寫拓樸中遭到封鎖之詳細資訊，請參閱「Sun Java System Directory Server Enterprise Edition 6.1 Deployment Planning Guide」中的「Preventing Authentication by Using Global Account Lockout」。