ldap防止爆破攻击配置

Owned by carsi_pku_team
Sept 03, 2021
1 min read

shibboleth idp3.3以上版本(ova安装方式idp版本为3.4.3,支持此配置)提供了账号锁定的功能,当账号错误登录达到一定次数时,自动锁定账号一段时间,具体配置如下

[root@www ~]# vi conf/authn/password-authn-config.xml
#取消注释,修改p:lockoutDuration="PT5M"为p:lockoutDuration="PT30M",增加账号锁定时间
<bean id="shibboleth.authn.Password.AccountLockoutManager"
parent="shibboleth.StorageBackedAccountLockoutManager"
p:maxAttempts="5"
p:counterInterval="PT5M"
p:lockoutDuration="PT30M"
p:extendLockoutDuration="false" />

p:maxAttempts="5"表示最大5次尝试

p:counterInterval="PT5M"表示5分钟内达到最大尝试次数

p:lockoutDuration="PT30M"表示锁定账号时间30分钟

账号锁定的依据是用户ip和登录的账号。如果某个账号在某台电脑上被锁定了,但另外一台电脑仍可以正常使用。

账号锁定后,再次登录会提示:Your account is locked.

如果需要修改提示信息,可以

[root@www ~]# vi /opt/shibboleth-idp/messages/messages.properties
#新增,将xxxxxxxxxxx修改成需要修改的提示信息
account-locked.message = xxxxxxxxxxx
#重启tomcat
[root@www ~]#systemctl restart tomcat

版权所有©北京大学计算中心