OpenLdap 2.4。*正在使用,与ppolicy插件
我注意到,pwdFailureTime多值属性被添加到LDAP数据库,但看起来像它永远不会被删除。
有没有简单的方法来使该属性的旧值自动删除? 看到数据库保存越来越多的这些logging,我感到不高兴。
我可以从虚假的值过滤LDAP备份,并使用slapadd重新添加整个数据库,但更简单的解决scheme将不胜感激。
当用户成功绑定时, pwdFailureTime属性被删除。
它被添加到每个用户对象,以追踪自从上次成功绑定以来发生了多less次失败的绑定,这是使用ppolicy覆盖的全部重点的一部分,因此倾销和重新加载数据库以摆脱它们并没有任何意义。
策略对象中的pwdLockout属性设置在触发pwdLockout属性定义的操作之前跟踪失败的绑定的数量。 它默认为0,这意味着无限数量的故障被跟踪(这可能会解释你所看到的行为),但是如果你把它设置为一个非零的数字,那么你将触发pwdLockout ,在那个失败之后默认为true 。 这将意味着用户被locking在他们的帐户之外,但是如果用户对象正在累积pwdFailureTime属性值到您感到不舒服的程度,那么这意味着它们无法成功绑定。
您也可以尝试设置您的策略对象上的pwdFailureCountInterval属性,根据文档将重置失败的密码计value秒之后,我会假设清除任何pwdFailureTime属性来实现这一点,但然后你改变启发式跟踪失败的绑定。