ユーザー・アカウントのロック

ユーザー名とパスワードの組み合わせを推測されないようにするために、一定回数ログオンが失敗した後にユーザー・アカウントをロックできます。

アカウントのロックに有効期間がある場合、その期間が終了すると、ユーザーによる正しいパスワードでのログオンが再度可能になります。ただし、再度正しくないパスワードが入力されると、1 回の試行でアカウントが再度ロックされます。アカウントがロックされている場合に、ロックアウト期間中にユーザーがログオンを試行すると、有効期間はその最後の試行から開始されます。ロックアウト・フェーズ中に試行された場合も同様です。これはセキュリティー上の理由からであり、アカウントのハッキングが試行されているかどうかを管理者が確認できるようにするためです。失敗カウントが増加し、最終失敗時刻が記録されます。以下のプロパティーを使用すると、ユーザー・アカウントのロック、ロック期間の設定、およびロックされたアカウントを使用できるコンピューターの指定を行えます。

account.lockout=


変更可能フィールド	account.lockout
フィールドの説明	ログオンが特定の回数連続して失敗した後、ユーザー・アカウントをロックします。この機能を無効にするには、これを 0 に設定します。デフォルト値は 0 です。
有効な値	ユーザーが定義します。
値の定義	ユーザー定義の整数。

account.lockout.timeout=


変更可能フィールド	account.lockout.timeout
フィールドの説明	連続してログオンに失敗したためにユーザー・アカウントがロックされた場合、ここで指定した期間が経過するとそのアカウントは再び有効になります。期間は、MIN、HOUR、DAY、MONTH で指定できます。注: このプロパティーが有効になるのは、account.lockout が有効な場合のみです。
有効な値	ユーザー定義
値の定義	ユーザー定義。MIN、HOUR、DAY、MONTH。例えば、5MIN と設定した場合、アカウントのロック期間は 5 分間です。2DAY と設定した場合、アカウントのロック期間は 2 日間です。注: ブランクのままにすると、アカウントは手動で設定するまでロックされます。

account.lockout.allowlogonfrom=


変更可能フィールド	account.lockout.allowlogonfrom
フィールドの説明	このプロパティーを使用すると、連続してログオンに失敗したためにユーザーのアカウントがロックされている場合でも、このホストからユーザーがログオンすることを許可できます。アカウントがロックされた場合、ここにリストされた IP アドレスを持つ 1 つ以上のコンピューターから BigFix® Remote Control サーバーにログオンできます。`For example : 192.0.2.1;192.0.2.2;` 注: 各ホスト名の後にセミコロンを付ける必要があります。
有効な値	ユーザー定義
値の定義	ユーザー定義のセミコロンで区切られた IP アドレスのリスト。最後もセミコロンにします。

使用例

例 1:

account.lockout = 0

account.lockout.timeout = X

account.lockout =0 であるため、失敗ログオン試行の後でアカウントがロックされることはありません。

例 2:

account.lockout = 3

account.lockout.timeout =

あるアカウントで 3 回連続してログオンに失敗すると、アカウントはロックされ、再設定が必要になります。再設定は、管理者アカウントによりデータベースを編集するかサーバー UI を使用して行えます。account.lockout.timeout に値が割り当てられていないため、この再設定は手動の再設定です。

例 3:

account.lockout = 3

account.lockout.timeout = 1HOUR

あるアカウントで 3 回連続してログオンに失敗すると、アカウントは 1 時間ロックされます。ただし、管理者アカウントを使用して、データベースまたはサーバー UI でアカウントを再設定することができます。

例 4:

account.lockout = 3

account.lockout.timeout =

account.lockout.allowlogonfrom=1.1.1.1;

あるアカウントで 3 回連続してログオンに失敗すると、アカウントはロックされ、管理者アカウントを使用してデータベースまたはサーバー UI で再設定する必要があります。このユーザーは account.lockout.allowlogonfrom に設定された IP アドレスを持つコンピューターからログオンすることもでき、ロックアウトは無視されます。

ユーザー・アカウントがロックされた場合、ユーザーは、「ロックされたユーザー ID のロック解除」メニュー項目を使用して、アカウントをロック解除できます。詳しくは、『ユーザー・アカウントのロック解除』を参照してください。

ログオン・ページでユーザーが「パスワード・オプションを忘れたとき」オプションを使用した場合、そのアカウントに登録されたユーザーに対してパスワードが電子メールで送信されます。ただし、アカウントがロックされている場合、アカウントはロックアウトされたままです。これは、攻撃者による無制限のパスワード推測試行を防止するためのセキュリティー上の予防措置です。account.lockout.reset.onemailpassword プロパティーを使用することで、このシナリオでのアカウントを自動的にロック解除できます。

account.lockout.reset.on.emailpassword=


変更可能フィールド	account.lockout.reset.on.emailpassword
フィールドの説明	ユーザーがログオン画面でパスワードを忘れたことを示すチェック・ボックスを選択した場合に、ロックされたアカウントを再設定するかどうかを決定します。
有効な値	True / False
値の定義	True 管理者からパスワード再設定用の電子メールを受信すると、ロックされたアカウントが再設定されます。 False 「パスワードを忘れたとき」要求を受信しても、ロックされたアカウントは再設定されません。注: このプロパティーはパスワードを忘れた場合の機能と組み合わせて使用されるため、システムで電子メールを使用可能にする必要があります。