帳號封鎖策略

本節說明決定帳號封鎖的策略屬性。

目錄伺服器帳號大致表示使用者項目，以及該使用者在目錄上執行作業所具有的權限。每個帳號會與連結 DN 及使用者密碼相關。當出現入侵者嘗試破解密碼時，希望目錄伺服器會鎖定帳號。鎖定功能可避免入侵者使用帳號進行連結，也能避免入侵者繼續攻擊。

身為管理員，您也可以手動停用共用一個角色的所有使用者之帳號。如需相關指示，請參閱手動鎖定帳號。此外，密碼策略的主要部分必須在無人介入且目錄伺服器鎖定帳號的情況下指定。

首先，您必須指定目錄伺服器可以使用 pwdLockout(5dsat) 在發生太多失敗連結時，自動鎖定帳號。目錄伺服器會記錄嘗試連結帳號的連續失敗次數。您可以使用 pwdMaxFailure(5dsat) 指定在目錄伺服器鎖定帳號之前可允許的連續失敗次數。

目錄伺服器會嚴守密碼策略鎖定帳號。此純粹為機械化作業。帳號鎖定的原因可能不是因為入侵者對帳號發動攻擊，而是因為使用者鍵入的密碼不正確。因此，您可以使用 pwdFailureCountInterval(5dsat) 指定目錄伺服器清除失敗嘗試的記錄之前，等待下一次嘗試的時間。您可以使用 pwdLockoutDuration(5dsat) 指定目錄伺服器自動解除鎖定帳號之前，封鎖應持續的時間。如果使用者的錯誤有正當理由而不是出於惡意，管理員不須介入解除鎖定使用者帳號。

如果您的使用者資料已在複寫拓樸之間複寫，封鎖屬性會隨其他項目資料一併複寫。pwdIsLockoutPrioritized(5dsat) 屬性的預設設定為 TRUE，因此會以較高的優先權複寫封鎖屬性的更新。因而會限制使用者在連續嘗試連結至任何單一複本 pwdMaxFailure 次之後，便遭到封鎖，其他多個複本在遭到封鎖之前的嘗試次數可能更少。如需有關如何確定使用者在整個複寫拓樸中遭到封鎖前，確實有 pwdMaxFailure 次嘗試次數的詳細資訊，請參閱「Sun Java System Directory Server Enterprise Edition 6.2 Deployment Planning Guide」中的「Preventing Authentication by Using Global Account Lockout」。