ldap防止爆破攻击配置

shibboleth idp3.3以上版本（ova安装方式idp版本为3.4.3，支持此配置）提供了账号锁定的功能，当账号错误登录达到一定次数时，自动锁定账号一段时间，具体配置如下

[root@www ~]# vi conf/authn/password-authn-config.xml
#取消注释，修改p:lockoutDuration="PT5M"为p:lockoutDuration="PT30M"，增加账号锁定时间
<bean id="shibboleth.authn.Password.AccountLockoutManager"
parent="shibboleth.StorageBackedAccountLockoutManager"
p:maxAttempts="5"
p:counterInterval="PT5M"
p:lockoutDuration="PT30M"
p:extendLockoutDuration="false" />

p:maxAttempts="5"表示最大5次尝试

p:counterInterval="PT5M"表示5分钟内达到最大尝试次数

p:lockoutDuration="PT30M"表示锁定账号时间30分钟

账号锁定的依据是用户ip和登录的账号。如果某个账号在某台电脑上被锁定了，但另外一台电脑仍可以正常使用。

账号锁定后，再次登录会提示：Your account is locked.

如果需要修改提示信息，可以

[root@www ~]# vi /opt/shibboleth-idp/messages/messages.properties
#新增，将xxxxxxxxxxx修改成需要修改的提示信息
account-locked.message = xxxxxxxxxxx
#重启tomcat
[root@www ~]#systemctl restart tomcat