使用網際網路密碼封鎖

網際網路密碼封鎖,讓管理員設定 Domino®網路及 Domino®網路Access 使用者的網際網路密碼鑑別失敗次數臨界值。

執行這項作業的原因和時機

封鎖任何無法在預先設定之嘗試次數內登入的使用者,網際網路鎖定有助於防止使用者網際網路帳戶受到暴力及字典式攻擊。有關鑑別失敗及封鎖的資訊是在「網際網路封鎖」應用程式中進行維護,管理員可在此分別清除失敗及解除鎖定使用者帳號。

依預設,會對 Domino 中的使用者強制執行鎖定。從 HCL Domino® 12 開始,您也可以根據 IP 位址對不在目錄中的使用者強制執行鎖定。如果啟用這個選項,您可以選擇性地要求,若要存取伺服器,具有 X-Forwarded-For 標頭的 IP 位址必須包含在「伺服器」文件中信任的 Proxy 清單中。

請注意,網際網路鎖定功能會受到「阻斷服務 (DoS)」攻擊。DoS 攻擊,是惡意使用者明確阻止服務的合法使用者使用該項服務的一種手法。在網際網路密碼封鎖的情況下,合法的網際網路使用者會因攻擊者故意製造的登入失敗嘗試,而無法登入 Domino® 伺服器。

若使用自訂的 DSAPI 過濾器,則可能無法發揮網際網路封鎖功能的威力,因為 DSAPI 過濾器是略過 Notes/Domino 鑑別的一種方法。

對於單一登入,已啟用網際網路密碼封鎖功能的 Domino® 伺服器,必須也同時是核發單一登入金鑰的伺服器。如果此金鑰擷取自另一個來源(另一個 Domino® 伺服器或 WebSphere® 伺服器),則無論是否啟用網際網路密碼封鎖,SSO 記號對 Domino® 伺服器會一律有效。

網際網路密碼封鎖要在伺服器的配置設定文件中啟用。這可讓管理員跨多部伺服器開啟「網際網路封鎖」功能。

建議啟用「伺服器」文件的「較少的名稱變更配合較高的安全性」選項。這可縮減歧義名稱的問題。Domino® 支援以短格式使用者名稱登入網路伺服器(若密碼正確),即使目錄中可能有兩人或多人符合此短名稱。當使用者輸入歧義名稱時而發生的不正確登入,會導致每個歧義比對失敗,因為無法分辨哪個使用者在嘗試登入。此外,只有使用者名稱及密碼配對成功的使用者,才會出現使用「鎖定到期日」設定來清除失敗嘗試的作業。

若要啟用網際網路密碼鎖定,請完成下列步驟。

程序

  1. 在「Domino® 管理員」中,按一下配置 > 伺服器 > 配置。開啟您要啟用網際網路密碼封鎖之伺服器的配置設定文件。
  2. 按一下安全。強制執行「網際網路密碼鎖定設定」有三個選項:
    • 是 - 伺服器會強制執行網際網路密碼封鎖。必須啟用這個選項,網際網路密碼鎖定功能才能運作。
    • 否 - 伺服器不會強制執行網際網路密碼封鎖。
    • (空白)- 如果此設定保持空白,則不一定要停用「強制執行」選項,而是改讓其他伺服器的「配置」文件(可能是適用所有伺服器的文件)決定是否啟用此伺服器的網際網路密碼鎖定。
      註: 「伺服器」文件中若不強執執行網際網路密碼封鎖,即停用任何其他網際網路封鎖設定,如位於原則文件中者。
  3. 選擇性的: 當您在前一個步驟中選取了「是」時,如果您還想要對不在 Domino 名錄中的使用者強制執行鎖定,請完成下列步驟:
    1. 選取也根據 IP 位址強制鎖定
    2. 選擇性的: 如果您想要目錄中使用者的登入失敗也算做「網際網路鎖定」資料庫中原始 IP 位址的失敗,請選取也將使用者名稱失敗算做 IP 位址失敗。未選取時,僅會將登入失敗算做使用者名稱的失敗。
  4. 配置下列設定:
    1. 網際網路密碼鎖定設定
    設定 指定
    日誌設定 您可以選擇要在主控台及 DDM 中記錄的事件類型。使用者名稱及 IP 位址也都會予以記載。
    • 若啟用「鎖定」,則使用者已遭封鎖以及使用者嘗試鑑別但已遭封鎖這兩種事件都會被記載。預設為啟用。
    • 若啟用「失敗」,則會記載所有失敗的鑑別嘗試。也會將正要鑑別的用戶端 IP 位址及使用者名稱包含在日誌中。
    允許嘗試的最大預設值 指定封鎖使用者之前所允許的錯誤密碼嘗試上限。預設值為 5。使用者一旦遭封鎖,則必須先解除鎖定,該使用者此項設定的任何新值才會生效。

    此值如與使用者原則中的設定不相同,即會覆寫伺服器配置文件中的值。

    註: 此值如果設為 0,即允許無限次嘗試密碼。
    預設封鎖到期日 指定執行封鎖的時段。在指定的時段到期之後,使用者帳號會在下次使用者嘗試鑑別時自動解除鎖定。此外,也會清除失敗次數。
    註: 此值若為 0,封鎖即不會自動過期。帳號必須以手動方式解除鎖定。
    預設最大嘗試間隔 指定密碼失敗次數為成功鑑別清除之前,保留在封鎖資料庫中的時間長度。預設值為 24 小時。

    不適用已遭封鎖的使用者。使用者如已遭封鎖,唯一能夠清除失敗次數及解除鎖定帳號的方法,就是在「網際網路封鎖」資料庫中或當「封鎖到期日」執行時,以手動方式執行此作業。

    註: 此值若為 0,未被封鎖之指定使用者的每一次成功登入,都會清除其所有的密碼失敗次數。
    註: 日誌設定除外,上文所述之所有選項亦可在使用者原則中指定。如果管理員只想對組織中部分的使用者施行網際網路密碼封鎖,這可能有所幫助。在此情況中,您可針對該群組建立這些設定。
  5. 選擇性的: 當您已在「步驟 3」中選取了也根據 IP 位址強制鎖定時,如果想要具有 X-Forwarded-For 標頭的送入 HTTP 要求,只在送入 TCP 連線的 IP位址,以及標頭中每一個 Proxy 的 IP 位址併入在信任的 Proxy 清單中時才進行驗證,請完成下列步驟。
    1. 在 Domino 名錄中,為啟用設定的伺服器開啟「伺服器」文件。
    2. 選取網際網路通訊協定 > HTTP 標籤。
    3. 信任的 Proxy區段中,選取啟用信任的 Proxy
    4. 按一下編輯清單,並指定逗號區隔的 IP 位址清單以允許。包括送入 TCP 連線的 IP 位址,以及 X-Forwarded-For 標頭中的 IP 位址。