Utilisation du verrouillage de l'accès Internet par mot de passe

Le verrouillage de l'accès Internet par mot de passe permet aux administrateurs de définir une valeur seuil des échecs d'authentification des mots de passe Internet pour les utilisateurs Domino® Web et Domino® Web Access.

Pourquoi et quand exécuter cette tâche

Le verrouillage de l'accès Internet permet d'éviter les attaques en force brute et les attaques par dictionnaire sur des comptes Internet en bloquant l'accès aux utilisateurs qui ne réussissent pas à se connecter avec un nombre prédéfini de tentatives. Les informations sur les échecs d'authentification et les verrouillages de comptes sont gérées dans l'application de verrouillage Internet dans laquelle l'administrateur peut effacer les tentatives infructueuses et déverrouiller les comptes utilisateur.

Par défaut, les verrouillages sont appliqués aux utilisateurs du répertoire Domino. En outre, à compter de HCL Domino® version 12, vous pouvez éventuellement appliquer des verrouillages pour les utilisateurs qui ne sont pas dans l'annuaire en fonction des adresses IP. Si vous activez cette option, vous pouvez éventuellement exiger que, pour accéder à un serveur, les adresses IP avec des en-têtes X-Forwarded-For soient incluses dans une liste de proxys de confiance dans le document Serveur.

Notez que la fonction de verrouillage de l'accès Internet est exposée aux attaques DoS (Denial of Service). Au cours d'une attaque DoS, des utilisateurs malveillants empêchent de manière explicite les utilisateurs légitimes d'utiliser un service. Dans le cas du verrouillage de l'accès Internet par mot de passe, des attaques peuvent empêcher des utilisateurs Internet légitimes de se connecter sur un serveur Domino® en simulant des tentatives de connexion qui échouent.

Vous ne pourrez pas profiter de la fonctionnalité de verrouillage de l'accès Internet par mot de passe si des filtres DSAPI personnalisés sont en cours d'utilisation, car le filtre DSAPI est une manière d'ignorer l'authentification Notes/Domino.

Pour une connexion unique, le serveur Domino®, sur lequel la fonction de verrouillage de l'accès Internet par mot de passe est activée, doit être également le serveur qui génère la clé de connexion unique. Si la clé est récupérée par une autre source (un autre serveur Domino® ou un serveur WebSphere®), le jeton SSO est toujours valide sur le serveur Domino®, même si le verrouillage de l'accès Internet par mot de passe est activé.

Le verrouillage de l'accès Internet par mot de passe est activé dans le document des paramètres de configuration du serveur. Cela permet aux administrateurs d'activer la fonction de verrouillage Internet sur plusieurs serveurs.

Il est recommandé d'activer l'option Moins de variantes de noms et plus de sécurité du document Serveur. Cela limite le problème d'ambiguïté des noms. Domino® prend en charge la connexion au serveur Web avec une forme abrégée du nom d'utilisateur (si le mot de passe est correct), même si ce nom abrégé correspond à deux personnes ou plus dans l'annuaire. Les connexions non valides qui se produisent lorsqu'un utilisateur tape un nom ambigu n'aboutissent pas pour chaque correspondance ambiguë. Il est impossible de savoir qui est l'utilisateur qui a essayé de se connecter. En outre, l'effacement des enregistrements de tentatives de connexion à l'aide du paramètre Expiration du verrouillage ne s'applique qu'à l'utilisateur dont le nom et le mot de passe correspondent.

Pour activer le verrouillage de l'accès Internet par mot de passe, procédez comme suit.

Procédure

  1. A partir de Domino® Administrator, cliquez sur Configuration > Serveur > Configurations. Ouvrez le document des paramètres de configuration pour le serveur sur lequel vous souhaitez activer la fonction de verrouillage de l'accès Internet par mot de passe.
  2. Cliquez sur Sécurité. Trois paramètres sont disponibles pour paramétrer l'option Appliquer le verrouillage de l'accès Internet par mot de passe :
    • Oui : le serveur applique le verrouillage de l'accès Internet par mot de passe. Cette option doit être activée pour que la fonction de verrouillage de l'accès Internet par mot de passe fonctionne.
    • Non : le serveur n'applique pas le verrouillage de l'accès Internet par mot de passe.
    • (Blanc) : si ce paramètre reste vierge, alors l'option Appliquer n'est pas nécessairement désactivée, mais permet au contraire à un autre document de configuration serveur (peut-être un qui s'applique à tous les serveurs) de déterminer si le verrouillage de l'accès Internet par mot de passe est activé pour ce serveur.
      Remarque : Si le verrouillage de l'accès Internet par mot de passe n'est pas appliqué dans le document Serveur, tous les autres paramètres de verrouillage Internet, par exemple ceux définis dans un document de politique, sont désactivés.
  3. Facultatif : Si vous avez sélectionné Oui à l'étape précédente, procédez comme suit si vous souhaitez également appliquer le verrouillage pour les utilisateurs qui ne sont pas dans l'annuaire Domino :
    1. Sélectionnez Appliquer également des verrouillages en fonction de l'adresse IP.
    2. Facultatif : Si vous souhaitez qu'un échec de connexion pour un utilisateur du répertoire soit également comptabilisé comme un échec pour l'adresse IP d'origine dans la base données Verrouillage de l'accès Internet, sélectionnez Compter les échecs du nom d'utilisateur également comme des échecs de l'adresse IP. Lorsque cette option n'est pas sélectionnée, l'échec de connexion est comptabilisé comme un échec pour le nom d'utilisateur uniquement.
  4. Configurez les paramètres suivants :
    Tableau 1. Paramètres de verrouillage de l'accès Internet par mot de passe
    Paramètre Spécifier
    Paramètres de journalisation Vous pouvez choisir le type d'événements à consigner sur la console et dans DDM. Le nom d'utilisateur et l'adresse IP sont également consignés.
    • Si le paramètre Verrouillages est activé, les événements dans lesquels l'utilisateur a été verrouillé et ceux dans lesquels un utilisateur tente de s'authentifier, mais est déjà verrouillé, sont consignés. Cette option est activée par défaut.
    • Si Echecs est activé, toutes les tentatives d'authentification infructueuses sont consignées. L'adresse IP et le nom d'utilisateur du client qui tente de s'authentifier sont également consignés dans le journal.
    Nombre de tentatives maximal par défaut autorisé : Permet d'indiquer le nombre maximum de saisies de mot de passe incorrectes autorisées avant de verrouiller le compte utilisateur. La valeur par défaut est 5. Une fois que son compte est verrouillé, l'utilisateur doit être déverrouillé avant que de nouvelles valeurs de ce paramètre prennent effet pour cet utilisateur.

    Si un utilisateur possède une valeur différente pour ce paramètre dans leur politique utilisateur, celle-ci remplace la valeur définie dans le document de configuration serveur.

    Remarque : Si cette valeur est égale à 0, le nombre de tentatives autorisées est illimité.
    Expiration de verrouillage par défaut : Permet de définir la durée d'application d'un verrouillage. A l'issue de ce délai, le compte utilisateur est automatiquement déverrouillé à la prochaine tentative d'authentification. En outre, toutes les tentatives ayant échoué sont effacées.
    Remarque : Si cette valeur est égale à 0, le verrouillage n'expire pas automatiquement. Le compte doit être déverrouillé manuellement.
    Intervalle de tentatives maximal par défaut : Permet d'indiquer la durée de conservation des tentatives de saisie de mot de passe incorrectes dans la base de verrouillage à l'issue de laquelle elles sont effacées en cas d'authentification réussie. La valeur par défaut est de 48 heures.

    Cela ne s'applique pas aux utilisateurs qui sont verrouillés. Si un utilisateur est verrouillé, seule l'option manuelle permet d'effacer les échecs de connexion et le déverrouillage du compte, dans la base de verrouillage de l'accès Internet, ou à l'expiration du verrouillage.

    Remarque : Si cette valeur est égale à 0, chaque connexion réussie, pour un utilisateur non verrouillé, efface toutes les tentatives ayant échoué de cet utilisateur.
    Remarque : A l'exception des paramètres de journalisation, les options décrites précédemment peuvent également être spécifiées dans une politique utilisateur. Cette fonctionnalité est utile pour un administrateur souhaitant uniquement appliquer le verrouillage de l'accès Internet par mot de passe à un sous-ensemble d'utilisateurs au sein d'une organisation. Dans ce cas, ces paramètres peuvent être définis pour ce groupe.
  5. Facultatif : Si vous avez sélectionné Appliquer également des verrouillages en fonction de l'adresse IP à l'étape 3, effectuez les étapes suivantes si vous souhaitez qu'une requête HTTP entrante avec un en-tête X-Forwarded-For soit validé uniquement si l'adresse IP de la connexion TCP entrante et l'adresse IP de chaque proxy dans l'en-tête sont incluses dans une liste de proxys dignes de confiance.
    1. Dans l'annuaire Domino, ouvrez le document Serveur d'un serveur sur lequel activer le paramètre.
    2. Sélectionnez l'onglet Protocoles Internet > HTTP.
    3. Dans la section Serveurs proxy sécurisés, sélectionnez Activer les serveurs proxy sécurisés.
    4. Cliquez sur Editer liste et spécifiez une liste d'adresses IP séparées par des virgules à autoriser. Incluez les adresses IP pour les connexions TCP entrantes et les adresses IP dans les en-têtes X-Forwarded-For.