OpenLDAP(試したのはCentOS5の2.3.43)にはnsAccountLockのスキーマがない 手動で追加すると slaptestでoperational attributeはダメだよって言われて起動もできない 代用として ppolicyオーバレイのなかに pwdAccountLockedTimeというattributeがあり これを000001010000Zにすると ロックできる 詳しくは man slapo-ppolicyで 具体的にどうするかというと デフォルトのslapd.confに include /etc/openldap/schema/ppolicy.schema : modulepath /usr/lib64/openldap moduleload ppolicy.la : database bdb overlay ppolicy として再起動すればOK 停止した