ldap - 如何在 ApacheDS 上解锁用户

Question

我设置了一个启用了默认密码策略的 ApacheDS。对于测试建议，我通过多次输入错误的凭据锁定了一个简单的用户(objectClass=Person 扩展了一些自定义的 User-objectClass)。正如我所料，用户被锁定(错误消息:用户被永久锁定)。

现在的问题是:如何再次解锁用户？有没有更好的方法然后删除并再次添加？

我对扩展用户 (objectClass=pwdPolicy) 进行了同样的尝试，但是当用户被锁定时没有添加 pwd* 属性。

Answer 1

最近，我在工作中遇到了同样的问题。但是，互联网上似乎没有答案。最后，我通过查看此文档找到了答案:

Password Policy for LDAP Directories draft-behera-ldap-password-policy

在第 5.3.3 节:pwdAccountLockedTime

This attribute holds the time that the user's account was locked. A
locked account means that the password may no longer be used to
authenticate. A 000001010000Z value means that the account has been
locked permanently, and that only a password administrator can unlock the account.

在第 5.2.12 节:pwdLockoutDuration

This attribute holds the number of seconds that the password cannot
be used to authenticate due to too many failed bind attempts. If
this attribute is not present, or if the value is 0 the password
cannot be used to authenticate until reset by a password
administrator.

通过以上两节，我们可以假设我们应该以管理员身份连接到ApacheDS服务器(默认为: uid=admin,ou=system, password=secret )，并删除用户的userPassword属性。通过这种方式，永久锁定的用户可以被解锁。

我练习了这个 sulotion，效果很好。

我建议你应该为 设置值pwdLockoutDuration 属性，在这种情况下用户不能被永久锁定。

欲了解更多信息:

ApacheDS password Policy