ldap - create - Cómo desbloquear usuario en ApacheDS
apacheds create partition (3)
Más recientemente, encontré el mismo problema en el trabajo. Pero, parece que no hay respuesta en Internet. Finalmente, encontré la respuesta al ver este documento:
Política de contraseñas para directorios LDAP draft-behera-ldap-password-policy
- En la sección 5.3.3: pwdAccountLockedTime
Este atributo contiene el tiempo que la cuenta del usuario estaba bloqueada. UN
cuenta bloqueada significa que la contraseña ya no se puede utilizar para
autenticar. Un valor 000001010000Z significa que la cuenta ha sido
bloqueado permanentemente, y que solo un administrador de contraseñas puede desbloquear la cuenta .
- En la sección 5.2.12: pwdLockoutDuration
Este atributo contiene la cantidad de segundos que la contraseña no puede
se utilizará para autenticarse debido a demasiados intentos de enlace fallidos. Si
este atributo no está presente, o si el valor es 0 la contraseña
no se puede usar para autenticarse hasta que se restablezca mediante una contraseña
administrador .
A través de las dos secciones anteriores, podemos suponer que debemos conectarnos al servidor ApacheDS con el administrador (de forma predeterminada: uid = admin, ou = system, password = secret) y eliminar el atributo userPassword del usuario. De esta manera, el usuario permanentemente bloqueado se puede desbloquear.
Practiqué este sulotion y funciona bien.
Sugiero que establezca el valor para el atributo pwdLockoutDuration , en este caso el usuario no puede estar permanentemente bloqueado.
Para más información:
Configuré un ApacheDS con la política de contraseña predeterminada habilitada. Para las propuestas de prueba, bloqueé un usuario simple (objectClass = Persona extendida con algún User-objectClass personalizado) al ingresar las credenciales incorrectas varias veces. Como esperaba, el usuario estaba bloqueado (mensaje de error: el usuario estaba permanentemente bloqueado).
La pregunta ahora es: ¿Cómo desbloquear al usuario nuevamente? ¿Hay una mejor manera que simplemente eliminar y agregar de nuevo?
Intenté lo mismo con un usuario extendido (objectClass = pwdPolicy) pero no se agregaron atributos pwd * cuando el usuario estaba bloqueado.
Use ApacheDS e inicie sesión como administrador, encuentre al usuario, haga clic derecho y elija "Recuperar-> Obtener atributos operativos". Ahora está visible pwdAccountLockedTime y puede eliminarlo para desbloquear al usuario
La respuesta de Mister''s es perfecta para desbloquear una cuenta y si desea establecer pwdLockoutDuration
para un solo usuario (suponiendo que el usuario haya implementado el objectClass pwdPolicy
.
También hay un archivo de configuración global encontrado en:
ou=config
* ads-directoryServiceId=<default>
* ou=interceptors
* ads-interceptorId=authenticationInterceptor
* ou=passwordPolicies
Aquí podemos establecer la política de contraseña predeterminada:
Como el mío es solo un servidor de prueba, he desactivado completamente el bloqueo mediante la configuración de ads-pwdlockout
en FALSE
. Para obtener más información sobre cómo configurar la política de contraseñas, lea los documentos oficiales .