使用因特网密码锁定

因特网密码锁定允许管理员为 Domino® Web 和 Domino® Web Access 用户的因特网密码认证失败次数设置一个阈值。

关于此任务

因特网锁定通过将任何在已建立的阈值范围内无法登录的用户进行锁定,可帮助防止针对用户因特网帐户的恶意力量和字典攻击。有关认证失败和锁定的信息在因特网锁定应用程序中维护,管理员可以在该应用程序中分别清除失败和解锁用户帐户。

缺省情况下,会针对 Domino 目录中的用户强制执行锁定。从 HCL Domino® 12 开始(可选),您还可以根据 IP 地址对不在目录中的用户强制执行锁定。如果启用此选项,则可以选择要求如需访问服务器,“服务器”文档中的可信代理列表中必须包含具有 X-Forwarded-For 头的 IP 地址。

应该注意的是,因特网锁定功能容易受到拒绝服务 (DoS) 攻击。DoS 攻击指的是这样一种攻击:恶意用户明确阻止某个服务的合法用户使用该服务。在因特网密码锁定的情况下,合法因特网用户可能会因故意进行失败登录尝试的攻击者而无法登录到 Domino® 服务器。

如果正在使用定制的 DSAPI 过滤器,则可能不能使用因特网锁定功能,因为 DSAPI 过滤器是一种忽略 Notes/Domino 认证的方式。

对于单点登录,启用了因特网密码锁定功能的 Domino® 服务器必须同时是颁发单点登录密钥的服务器。如果此密钥是从另一个源(另一个 Domino® 服务器或 WebSphere® 服务器)检索的,那么无论是否启用了因特网密码锁定,SSO 令牌在该 Domino® 服务器上将始终有效。

因特网密码锁定在服务器配置设置文档中启用。这就使得管理员能够为多个服务器打开因特网锁定功能。

建议启用“服务器”文档选项名称变化越少,安全性越高。这样可以将不明确名称的问题减到最少。Domino® 支持使用用户名的简短形式登录到 Web 服务器(如果密码正确),尽管短名称可能与目录中的两个或多个人相匹配。用户输入模糊名称时发生的不正确登录将导致每个模糊匹配项发生失败,因为无法分清哪个用户正在尝试登录。另外,只有当用户的用户名和密码成功匹配时,才能使用锁定截止时间设置清除失败尝试。

要启用因特网密码锁定,请完成以下步骤。

过程

  1. Domino® Administrator 中,单击配置 > 服务器 > 配置。打开要为其启用因特网密码锁定的服务器的配置设置文档。
  2. 单击安全。对于设置强制因特网密码锁定,您有三个选项:
    • 是 - 服务器强制实施因特网密码锁定。要使得任何因特网密码锁定功能能够运行,必须启用此选项。
    • 否 - 服务器不强制实施因特网密码锁定。
    • (空白)- 如果此设置保留为空,那么不一定要禁用该“强制”选项,而可以让另一服务器“配置”文档(可能是适用于所有服务器的文档)来确定是否为此服务器启用因特网密码锁定。
      注: 如果该“服务器”文档中没有强制因特网密码锁定,则任何其他因特网锁定设置(如策略文档中的设置)也将被禁用。
  3. 可选: 如果在上一步中选择了“是”,并且还希望对不在 Domino 目录中的用户强制执行锁定,请完成以下步骤:
    1. 选择同时根据 IP 地址强制执行锁定
    2. 可选: 如果希望将目录中用户的登录失败也计为因特网锁定数据库中原始 IP 地址的失败,请选择将用户名失败也计为 IP 地址失败。如果未选中此选项,则登录失败仅计为用户名失败。
  4. 配置以下设置:
    1. 因特网密码锁定设置
    设置 指定
    日志设置 您可以选择要在控制台和 DDM 中记录的事件类型。还会记录用户名和 IP 地址。
    • 如果已启用“锁定”,那么会记录其中已锁定用户的事件以及其中用户尝试认证但已锁定的事件。缺省值为启用。
    • 如果已启用“失败”,那么会记录任何失败的认证尝试。日志中还会包括正在尝试认证的客户机的 IP 地址和用户名。
    缺省允许的最大尝试次数 指定用户被锁定之前允许的失败密码尝试的最大次数。缺省值为 5。一旦用户被锁定,则必须首先解锁该用户,然后此设置的任何新值才能对于该用户生效。

    如果某个用户在其用户策略中对此设置具有不同的值,该值则会覆盖服务器配置文档中的设置。

    注: 如果此值为 0,则允许无限次数的密码尝试。
    缺省锁定截止时间 指定强制锁定的时间段。指定的时限之后,用户下一次尝试认证时该用户帐户将自动解除锁定。另外,所有失败尝试也将被清除。
    注: 如果此值为零,锁定则不会自动过期。必须手动解锁帐户。
    缺省最大尝试时间间隔 指定失败密码尝试要在锁定数据库中保留多长时间之后,才能被成功认证清除。缺省值为 24 小时。

    此设置不适用于已被锁定的用户。如果用户被锁定,清除失败尝试和解锁帐户的唯一方法是在因特网锁定数据库中或在“锁定截止时间”到期时手动执行此操作。

    注: 如果此值为 0,则对于某个尚未锁定的特定用户,每次成功登录都会清除该用户的所有失败密码尝试。
    注: 除了日志设置之外,前面讲述的选项还可在用户策略中指定。这在管理员仅希望对组织内的某个用户子集强制执行因特网密码锁定时非常有用。这种情况下,可以为该组建立这些设置。
  5. 可选: 如果在步骤 3 中选择了同时根据 IP 地址强制执行锁定 ,如果希望仅在传入 TCP 连接的 IP 地址以及头中每个代理的 IP 地址包含在可信代理列表中时,才对具有 X-Forwarded-For 头的传入 HTTP 请求进行验证,请完成以下步骤。
    1. 在 Domino 目录中,打开要在其上启用设置的服务器的“服务器”文档。
    2. 选择因特网协议 > HTTP选项卡。
    3. 可信代理部分中,选择启用可信代理
    4. 单击编辑列表,并指定要允许的 IP 地址的逗号分隔列表。包括传入 TCP 连接的 IP 地址以及 X-Forwarded-For 头中的 IP 地址。