LDAP检查ppolicy

时间:2015-12-27 16:18:54

标签: ldap spring-ldap

如何检查用户帐户是否被ppolicy锁定或解锁?

情况如下:

  1. 我添加了默认的ppolicy:

    dn: cn=default,ou=ppolicies,dc=scb,dc=kz
objectClass: applicationProcess
objectClass: pwdPolicy
cn: default
pwdAttribute: userPassword
pwdLockout: TRUE
pwdMaxFailure: 5
pwdLockoutDuration: 900

    2. 如果ppolicy锁定了用户 pwdLockoutDuration 秒(15分钟) pwdAccountLockedTime 操作属性。

    没关系!

    1. 此时用户无法在15分钟内进行身份验证。此外,我可以通过检查 pwdAccountLockedTime 属性是否存在来检测用户是否被锁定。

      2. 也可以!

      1. 15分钟后,ppolicy解锁用户帐户,用户可以登录,但除非用户登录 pwdAccountLockedTime 属性仍然存在。

        2. 是否有其他方法可以确定用户在锁定时间后是否已被ppolicy自动解锁

1 个答案:

答案 0 :(得分:0)

根据Draft-behera-ldap-password-policy: 第7.6节。入侵者锁定检查 如果满足以下条件,则返回状态为true,表示已检测到入侵者:

  • pwdLockout属性为TRUE。
  • pwdFailureTime属性中较年轻的值的数量 比pwdFailureCountInterval大于或等于pwdMaxFailure 属性。
  • 否则返回false状态。

执行此检查时,pwdFailureTime的值大于pwdFailureCountInterval的值将被清除且不计算。

但是,您没有提到您正在使用的LDAP实施以及实施是否符合Draft-behera-ldap-password-policy。

相关问题
最新问题