LDAP檢查用戶帳戶是否被ppolicy鎖定/解鎖

Question

如何檢查用戶帳戶是否被ppolicy鎖定或解鎖？

下面是情形：

1. 我已經添加默認ppolicy：

   dn: cn=default,ou=ppolicies,dc=scb,dc=kz 
   objectClass: applicationProcess 
   objectClass: pwdPolicy 
   cn: default 
   pwdAttribute: userPassword 
   pwdLockout: TRUE 
   pwdMaxFailure: 5 
   pwdLockoutDuration: 900 
   

如果pwdLockoutDuration秒ppolicy鎖定的用戶（15分鐘）pwdAccountLockedTime操作屬性出現。

沒關係！

1. 此時用戶無法在15分鐘內認證。此外，我可以通過檢查是否存在pwdAccountLockedTime屬性來檢測用戶是否被鎖定。

也可以！

15分鐘後ppolicy解鎖用戶帳戶和用戶可以登錄，但除非用戶日誌中pwdAccountLockedTime屬性仍然存在。

是否有任何其他辦法找出如果用戶已經被自動ppolicy鎖定時間

Answer 1

根據草稿behera-LDAP的密碼策略後解鎖： 7.6節。入侵鎖定檢查 的真，則表示，如果滿足以下條件，已檢測到入侵者返回一個狀態：

• 的pwdLockout屬性爲真。
• 比pwdFailureCountInterval更年輕的 的pwdFailureTime屬性中的值數大於或等於pwdMaxFailure 屬性。
• 否則返回false狀態。

在執行此檢查時，pwdFailureTime的舊值大於pwdFailureCountInterval的值將被清除並不計入。

但是，您沒有提及您正在使用的LDAP實現，以及實現是否符合Draft-behera-ldap-password-policy。