インターネットパスワードを保護する

インターネットパスワードは、悪意のある攻撃者の対象となることがあります。ただし、インターネットパスワードをよりセキュアにする方法があります。

このタスクについて

典型的なパスワード攻撃の例は次のとおりです。

  • 攻撃の一種に、Domino® ディレクトリ内のハッシュ化されたパスワードをすべて読み取ろうとする攻撃があります。ユーザーのインターネットパスワードは、Domino ディレクトリのユーザー文書にハッシュ化されて保存されています。Domino ディレクトリには、システムのすべてのユーザーがアクセスできます。xACL を使用すると、ハッシュ化されたパスワードへのアクセスをブロックし、このような攻撃からパスワードを保護することができます。
  • 別のタイプの攻撃として、認証時のパスワードを推測する攻撃があります。このタイプの攻撃では、別の誰かになりすまして認証を試み、パスワードを推測します。このような攻撃は、より安全な形式のパスワードや推測しにくいパスワードを使用したり、サーバーでインターネットパスワードのロックアウト機能を有効にすることによって防ぎます。

Domino ディレクトリに保存されているインターネットパスワードへのアクセスを保護したり、インターネットパスワードを推測しにくくするには、次の機能を複数使用します。

  • xACLs
  • より安全な形式のパスワード
  • インターネットパスワードのロックアウト

ログの設定を除いて、前述のオプションはユーザーポリシーでも指定できます。組織の一部のユーザーに対してのみインターネットパスワードのロックアウトを使用する場合は、この設定が有用です。この場合は、該当するグループにこの設定を適用できます。

xACL を使用してインターネットパスワードを保護する

インターネットパスワードを保護する方法としては、拡張 ACL (xACL) を使用して、フォームレベルとフィールドレベルで名前階層内のレベルに基づいてアクセス権を制御する方法があります。Domino ディレクトリに保存されたパスワードの場合、管理者は xACL を設定して、インターネットパスワードへのアクセスを限定できます。ユーザーには自分自身のパスワードへのアクセスを許可し、管理者にはシステム管理上のパスワード変更を許可できます。

手順

  1. まず、Domino ディレクトリへの拡張アクセスを有効にします。
    1. データベースを開き、[ファイル] > [アプリケーション] > [アクセス制御] を選択します。
    2. データベース ACL で [管理者] のアクセス権が設定されていることを確認します。
    3. [詳細] をクリックし、[拡張アクセスを有効] を選択します。
    4. プロンプトが表示されたら、[はい] をクリックして続行します。「拡張アクセスを有効にすると追加のセキュリティチェックが実行されます。詳しくは IBM Domino Administrator ヘルプを参照してください。続行しますか?
    5. データベース ACL の詳細オプション [このデータベースのレプリカはすべて共通のアクセス制御リストを用いる] がまだ選択されていない場合は、次のプロンプトが表示されます。「共通のアクセス制御をまず有効にする必要があります。すぐに有効にしますか?[はい] をクリックします。
    6. 複数の管理者がデータベースで拡張アクセスを管理するときは、競合を避けるために文書のロックを有効にしてください。」のプロンプトで、[OK] をクリックします。
    7. [アクセス制御リスト] ダイアログボックスで [OK] をクリックします。
    8. 拡張アクセス制限を有効にしています。これにはしばらく時間がかかります。」というメッセージが表示されたら [OK] をクリックします。
  2. 次に、拡張アクセスを設定してインターネットパスワードを保護します。
    1. データベースを開き、[ファイル] > [アプリケーション] > [アクセス制御] を選択します。
    2. [拡張アクセス] をクリックします。[拡張アクセス] ダイアログボックスが表示されます。
    3. [対象] ペインで、[/] (ルート) を選択して [追加] をクリックします。
    4. アクセスリストペインで、[Default] を選択します。
    5. [フォームとフィールドのアクセス権] をクリックします。[フォームとフィールドのアクセス権] ダイアログボックスが表示されます。
    6. [フォーム] リストボックスで [Person] を選択します。フォームのアクセス権を空白にします。
    7. [フィールド] リストボックスで、次の手順を実行します。
    8. OK」をクリックします。
    9. [Person] で、[HttpPassword] と [dspHttpPassword] (表示されている場合) に対してこの操作を繰り返します。
      表 1. [ユーザー] フォームの [アクセスリスト] エントリ
      アクセスリストエントリ 読み取りアクセス権 書き込みアクセス権
      セルフ 許可 許可
      [Local administrators group] 許可 許可
      [Local servers group] 許可 許可
    注: [Anonymous] アクセスがアクセスリストに設定されていた場合、[Person] フォームの [HTTPPassword] と [dspHTTPPassword] (表示されている場合) で読み取りアクセス権と書き込みアクセス権を禁止に設定する必要があります。
    注: Domino ディレクトリに対して xACL を有効にすると、LDAP 匿名アクセスはすべてのサーバー設定文書のフィールドのリストで制御されなくなります。デフォルトの xACL 設定では [Anonymous] が [なし] のアクセス権であるため、xACL が有効になると匿名 LDAP 検索はすべて失敗します。

より安全な形式のパスワードを使用する

インターネットパスワードを入力してユーザー文書を保存すると、Domino では [インターネットパスワード] フィールドは自動的に一方向ハッシュ化されます。デフォルトのパスワードを改善するには、より安全な形式のパスワードを使用します。既存のユーザー文書のパスワード形式をアップグレードすることも、作成するすべてのユーザー文書でより安全な形式のパスワードを自動的に使用するようにすることもできます。

既存のユーザー文書の場合

手順

  1. Domino Administrator で、[ユーザーとグループ] をクリックし、より安全な形式のパスワードにアップグレードするユーザー文書を選択します。
  2. [アクション] > [強固なパスワード形式への変更] を選択します。
  3. Domino ドメインのすべてのサーバーでリリース 8.0.1 以降が実行されている場合、[[はい] - パスワード確認は Notes/Domino リリース 8.0.1 以降と互換です] を選択します。それ以外の場合は、[[はい] - パスワード確認は Notes/Domino リリース 4.6 以降と互換です] を選択します。

新規ユーザー文書の場合

手順

  1. Domino Administrator で [設定] をクリックし、[すべてのサーバー文書] をクリックします。
  2. [アクション] > [ディレクトリプロフィールの編集] を選択します。
  3. Domino ドメインのすべてのサーバーでリリース 8.0.1 以降が実行されている場合、[[はい] - パスワード確認は Notes/Domino リリース 8.0.1 以降と互換です] を選択します。それ以外の場合は、[[はい] - パスワード確認は Notes/Domino リリース 4.6 以降と互換です] を選択します。
  4. 文書を保存して閉じます。
    注: ユーザーのインターネットパスワードを Notes® パスワードと同期する場合は、より安全なパスワード形式が必要です。
    ヒント: 悪意のある攻撃者がパスワードを推測できないようにするもう 1 つの方法は、単純にパスワードをより推測しにくくすることです。この場合、パスワードを長くて複雑なものにする、さまざまな文字を使用する、実際にある単語を使用しない、などの方法があります。

インターネットパスワードのロックアウトを使用する

このタスクについて

インターネットパスワードのロックアウトを使用すると、管理者は、Domino Web ユーザーや Domino Web Access ユーザーがインターネットパスワードによる認証で失敗可能なしきい値を設定できます。これにより、設定された試行回数以内でログインできなかったユーザーがロックアウトされるため、ユーザーのインターネットアカウントに対する総当たり攻撃や辞書攻撃を防ぐことができます。認証の失敗とロックアウトに関する情報は、インターネットロックアウトアプリケーションで管理されます。管理者は、このアプリケーションで失敗をクリアしたり、ユーザーアカウントをロック解除できます。

この機能は、サービス不能 (DoS) 攻撃を受けやすいことに注意する必要があります。DoS 攻撃とは、悪意のあるユーザーが、正当なユーザーによるサービスの利用を故意に妨げる攻撃のことです。インターネットパスワードのロックアウトの場合、攻撃者が意図的にログインを失敗することにより、正当なインターネットユーザーが Domino サーバーにログインできなくなる可能性があります。

インターネットパスワードのロックアウトには、次のような制限事項があります。

  • インターネットパスワードのロックアウトは Web アクセスでのみ使用できます。LDAP、POP、IMAP、DIIOP、HCLSametime® など、その他のインターネットプロトコルやサービスは現在サポートされていません。ただし、認証に使用するパスワードが LDAP サーバーに格納されている場合は、インターネットパスワードのロックアウトを Web 接続に使用できます。
  • カスタム DSAPI フィルタを使用中の場合、インターネットのロックアウト機能を利用できないことがあります。これは、DSAPI フィルタが IBM Notes/Domino の認証をバイパスする方法であるためです。

シングルサインオンでは、インターネットパスワードのロックアウト機能が有効な Domino サーバー以外のサーバーでも、シングルサインオンのキーを発行する必要があります。別のソース (別の Domino サーバーまたは WebSphere® サーバー) からこのキーを取得する場合、インターネットパスワードのロックアウトが有効であるかどうかに関係なく、SSO トークンは Domino サーバー上で常に有効になります。

インターネットロックアウトデータベース

このタスクについて

インターネットロックアウトデータベース (inetlockout.nsf) は次のような場合にテンプレート inetlockout.ntf から作成されます。

  • インターネットのロックアウト機能が有効な場合の起動中。
  • 初めてロックアウトデータベースを検索するか、ロックアウトデータベースに書き込む必要があるとき。再起動は必要ありませんが、機能を有効にしてからロックアウトデータベースをオープンするか、ロックアウトデータベースに書き込むまでに、10 分間は必要です。

インターネットロックアウトデータベースの ACL では、[管理者] のアクセス権を持つのはデフォルトで管理者グループのみです。[Default] と [Anonymous] はアクセスが拒否されます。ただし、データベースの ACL を変更して、ユーザーの表示やロック解除を行うアクセス権をユーザーやグループに付加することができます。

Web ユーザーとして Domino にログインするユーザーについては、ユーザー名、認証の失敗回数、ロックアウトステータスなどのロックアウトの状態に関する情報は、インターネットロックアウトデータベースで管理されます。ユーザーが既にロックアウトされているとき、またはログインに成功したときは、ロックアウトの試行はロックアウトデータベースに記録されません。ただし、インターネットロックアウトデータベースがロックアウト状態の情報を保持しているときにログイン失敗の履歴を記録する場合は、ログインの失敗とロックアウトの履歴情報を格納する場所を Domino ドメインモニター (DDM) とする必要があります。

インターネットロックアウトデータベースに保存されているユーザーのアクセス情報に対して変更が行われると、その変更はただちに反映されます。変更を有効にするために HTTP サーバーを再起動する必要はありません。

ロックアウトデータベースには、次の 2 つのビューがあります。

  • [Locked Out Users] - 不正なパスワード入力のしきい値を超えたため、現在 Web ユーザーとしてサーバーにログインできないユーザーのレコードが表示されます。
  • [Login Failures] - ユーザーが認証に失敗した回数が表示されます。

次のフィールドは、両方のビューに共通です。

  • [Server name] - ユーザーがロックされているか、失敗した認証があるサーバー。
  • [User name] - ロックアウトされているか、認証の失敗がログに記録されたユーザーの名前。
  • [Locked out] - [Login Failures] ビューでは、この値は [yes] か [no] です。[Locked Out Users] ビューでは [はい] が設定されます。
  • [Failed attempts] - 認証に失敗した回数がユーザーごとに表示されます。[Locked Out Users] ビューでは、しきい値の設定と同じ値になります。
  • [First failure time] - 最初に認証に失敗した日付と時刻が表示されます。
  • [Last failure time] - 最後に認証に失敗した日付と時刻が表示されます。ユーザーがロックアウトされた時間です。ロックアウトされたユーザーが再度ログインを試行しても、この時間は更新されません。

ユーザーのロックを解除するには、レコードを削除します。

ツールバーで [Mark for Delete/Unlock] をクリックすると、ロックを解除するレコードまたは削除するレコードを複数選択できます。[Delete Marked Items] をクリックすると、選択したレコードを削除できます。

インターネットロックアウトデータベースに記録されているのが有効なユーザーのみであることを、定期的に確認することをお勧めします。名前が変更になったユーザーの名前、または Domino サーバーのユーザーではなくなったユーザーの名前を削除します。このデータベースは自動でクリーンアップされません。無効となったユーザーのレコードが残っていても機能的に問題はありませんが、データベースにレコードが多すぎると、インターネット認証のパフォーマンスが低下する可能性があります。

インターネットロックアウトデータベースには、ロックアウトをユーザーに通知するためのカスタムログインフォームを作成できます。

インターネットロックアウトデータベースを複製する

このタスクについて

管理者は、インターネットロックアウトデータベースを他のサーバーに複製することが有用かどうかを判断する必要があります。データベースを複製する主な利点として、ロックアウト情報が複数のサーバーに複製されることを挙げることができます。任意の複製を開き、複数のサーバー上のユーザーのロックアウトステータスを確認できます。インターネットパスワードのロックアウトが有効なサーバーで、インターネットロックアウトデータベースを開く必要はありません。

ただし、複製にも欠点があります。たとえば、ネットワークが攻撃されたり、サービス不能攻撃を受けると、複製が過剰に発生することがあります。また、複製の実行が遅れると、特定のサーバー上でロックアウトデータベースを確認している管理者は、複製が行われるまで、ユーザーがロックアウトされていることを確認できない場合があります (ただし、確認しているサーバーのレプリカは直接はいつでも開くことができます)。

インターネットロックアウトデータベースは、ドメイン内のインターネットパスワードのロックアウトが有効なサーバーのレプリカではすべて同一のレプリカ ID で作成されます。デフォルトでは、インターネットロックアウトデータベースは一時的に複製が無効にされています。これは、前述の複製の過剰な発生を防ぐためです。データベースを他のサーバーに複製するには、[複製の設定] ダイアログボックスの [その他] セクションで [複製を許可しない] オプションを無効にします。その後、データベースを複製するように設定します (スケジュール複製またはクラスタ複製)。

注: このデータベースを他のサーバーに複製するときに、個々のサーバーで「無効な試行」情報が計算されます。たとえば、「John Doe」のしきい値が 3 に設定されている場合に、サーバー A で 2 回、サーバー B で 1 回の無効な試行が行われた場合、John Doe はどちらのサーバーでもロックアウトされません。試行は合計 3 回にはまとめられません。複製の目的は管理を容易にすることであり、グローバルしきい値を設定するためではありません。

インターネットパスワードのロックアウトを設定する

このタスクについて

インターネットパスワードのロックアウトはサーバー設定文書で有効にします。これにより、管理者は複数のサーバーでインターネットロックアウト機能を有効にできます。

サーバー文書のオプション [強いセキュリティで少ない名前のバリエーション] を有効にすることをお勧めします。これにより、あいまいな名前による問題が最小限に抑えられます。Domino では、ディレクトリ内に同じ短縮名が複数ある場合でも、パスワードが正しければ短縮名で Web サーバーへログインできます。ユーザーがあいまいな名前を入力して誤ってログインした場合、ログインしようとしたユーザーを特定できないため、あいまい一致は失敗します。また、ロックアウトの有効期限設定による認証失敗のクリアは、ユーザー名とパスワードの一致が成功したユーザーに対してのみ行われます。

手順

  1. Domino Administrator で [設定] > [サーバー] > [設定] をクリックします。インターネットパスワードのロックアウトを有効にするサーバーのサーバー設定文書を開きます。
  2. [セキュリティ] をクリックします。[インターネットパスワードを強制的にロックアウト] 設定には、次の 3 つのオプションがあります。
    • [はい] - サーバーでインターネットパスワードのロックアウトが有効になります。インターネットパスワードのロックアウトを実行する場合は、有効にしてください。
    • [いいえ] - サーバーでインターネットパスワードのロックアウトが無効になります。
    • (空白) - この設定が空白のままの場合、[強制] オプションは必ずしも無効になりません。ただし、代わりに別のサーバーの設定文書 (すべてのサーバーに適用される) でこのサーバーのインターネットパスワードのロックアウトが有効かどうかを確認できます。
      注: インターネットパスワードのロックアウトがサーバー設定文書で有効でない場合、ポリシー文書の設定など、他のインターネットロックアウトの設定は無効になります。
  3. インターネットパスワードが有効なときは、以下を行います。
    表 2. インターネットパスワードのロックアウト設定
    設定 指定
    ログ設定 コンソールと DDM でログを記録するイベントの種類を選択します。ユーザー名と IP アドレスも記録されます。
    • [ロックアウト] を有効にすると、ユーザーがロックアウトされたイベントと、ロックアウトされているときに認証を試みたイベントが両方とも記録されます。これはデフォルトで有効になっています。
    • [失敗] を有効にすると、失敗した認証がすべて記録されます。認証を試みたクライアントの IP アドレスとユーザー名もログに記録されます。
    デフォルトの最大試行回数 ユーザーが間違ったパスワードを入力してロックアウトされるまでの最大回数を指定します。デフォルトは 5 です。ユーザーがロックアウトされた場合、そのユーザーに対して新しい設定値を有効にする前にロックを解除する必要があります。

    ユーザーポリシーに異なる値の設定がある場合は、その値がサーバー設定文書に設定された値より優先されます。

    注: この値が 0 の場合、パスワードの試行は無制限です。
    デフォルトのロックアウトの有効期限 ロックアウトを有効にする期間を指定します。指定した期間が経過すると、ユーザーが次に認証を試みたときにユーザーアカウントが自動的にロック解除されます。また、認証の失敗もすべてクリアされます。
    注: この値が 0 の場合、ロックアウトは自動で期限切れになりません。アカウントは手動でロック解除する必要があります。
    デフォルトの最大試行間隔 不正なパスワードの入力が、認証が成功してクリアされるまでにロックアウトデータベースに保持される期間を指定します。デフォルト値は 24 時間です。

    ロックアウトされたユーザーには適用されません。ユーザーがロックアウトされた場合、認証の失敗をクリアしてアカウントのロックを解除するには、インターネットロックアウトデータベースで手動でこの操作を行うか、ロックアウトの期限が切れる必要があります。

    注: この値が 0 の場合、ロックアウトされていないユーザーがログインに成功するたびに、そのユーザーの不正なパスワードの入力がクリアされます。
    注: ログの設定を除いて、前述のオプションはユーザーポリシーでも指定できます。組織の一部のユーザーに対してのみインターネットパスワードのロックアウトを使用する場合は、この設定が有用です。この場合は、該当するグループにこの設定を適用できます。