Das automatische Sperren von Domänenaccounts nach einer gewissen Anzahl fehlgeschlagener Logins ist gängige Praxis. Auch ApacheDS besitzt eine solche Standard-Policy. Verbindet man sich beispielsweise per ldapsearch mit einem solchen Account, erscheint folgende Fehlermeldung:
# ldapsearch -h localhost -p 10389 -D "uid=user,ou=users,dc=ldap,dc=nas" -W
Enter LDAP Password:
ldap_bind: Invalid credentials (49)
additional info: INVALID_CREDENTIALS: Bind failed: account was permanently locked
Wir verbinden uns mit der Open Source Software Apache Directory Studio auf den LDAP-Server. In den Details des Benutzer müssen zunächst die operativen Attribute mittels Rechtsklick eingeblendet werden:
Operative Attribute sind interne Daten des Verzeichnisdienstes. Sie werden für reguläre LDAP-Abfragen nicht benötigt. Daher muss der Client diese explizit vom Server abfragen. In Apache Directory Studio erscheinen diese in kursiver Schrift.
Um die Accountsperre zu entfernen, muss das Attribut pwdAccountLockedTime mit einem Rechtsklick gelöscht werden. Im Falle einer Sperrung steht der Wert auf 000001010000Z.
Nun ist ein Login wieder möglich. Zu beachten ist: Nur ein Administrator-Account ist in der Lage, das pwdAccountLockedTime Attribute zu entfernen. Standardmäßig existiert hierfür in ApacheDS das Konto uid=admin,ou=system.