OpenLDAPでnsAccountLock
OpenLDAP(試したのはCentOS5の2.3.43)にはnsAccountLockのスキーマがない
手動で追加すると
slaptestでoperational attributeはダメだよって言われて起動もできない
代用として
ppolicyオーバレイのなかに
pwdAccountLockedTimeというattributeがあり
これを000001010000Zにすると
ロックできる
詳しくは man slapo-ppolicyで
具体的にどうするかというと
デフォルトのslapd.confに
include /etc/openldap/schema/ppolicy.schema : modulepath /usr/lib64/openldap moduleload ppolicy.la : database bdb overlay ppolicy
として再起動すればOK
停止したいエントリを
dn: uid=hoge,dc=example,dc=net uid: hoge : pwdAccountLockedTime: 000001010000Z
とすればロックする
# ldapsearchでは明示しないと出てこないでの注意
ppolicyにはいろいろ機能があるようで
例えばパスワードn回間違えるとロックすることもできるみたい
これも詳しくは man slapo-ppolicyで