인터넷 비밀번호 잠금 사용

인터넷 비밀번호 잠금을 사용하여 관리자는 Domino® 웹 및 Domino® Web Access 사용자에 대한 인터넷 비밀번호 인증 실패의 임계값을 설정할 수 있습니다.

이 태스크 정보

인터넷 잠금을 사용하면 사전 설정된 횟수 내에 로그인하지 못하는 사용자를 잠궈 사용자 인터넷 계정을 통한 brute force 및 사전 공격을 방지할 수 있습니다. 인증 실패 및 잠금에 대한 내용은 인터넷 잠금 애플리케이션에서 유지관리되며, 관리자는 이 애플리케이션에서 오류를 제거하고 사용자 계정을 잠금 해제할 수 있습니다.

기본적으로 잠금은 Domino 디렉토리에 있는 사용자에게 적용됩니다. HCL Domino® 12 이상에서는 필요한 경우 IP 주소에 따라 디렉토리에 없는 사용자에 대해 잠금을 적용할 수도 있습니다. 이 옵션을 사용하도록 설정한 경우 필요에 따라 서버에 액세스하려면 X-Forwarded-For 헤더가 있는 IP 주소를 서버 문서의 신뢰할 수 있는 프록시 목록에 포함해야 할 수도 있습니다.

인터넷 잠금 기능은 DoS(Denial of Service) 공격을 받기 쉽습니다. DoS 공격은 악의적인 사용자가 명시적으로 합법적인 서비스 사용자가 해당 서비스를 사용하는 것을 차단하는 것입니다. 인터넷 비밀번호 잠금의 경우, 합법적인 인터넷 사용자가 의도적으로 로그인 시도를 실패하게 만드는 공격자로 인해 Domino® 서버에 로그인하지 못할 수 있습니다.

DSAPI 필터는 Notes/Domino 인증을 건너뛸 수 있는 방법이므로, 사용자 정의 DSAPI 필터가 사용 중인 경우 인터넷 잠금 기능을 활용할 수 없습니다.

또한 싱글 사인온의 경우, 인터넷 비밀번호 잠금 기능이 사용 가능으로 설정된 Domino® 서버도 싱글 사인온 키를 발행하는 서버여야 합니다. 이 키가 다른 소스(다른 Domino® 서버 또는 WebSphere® 서버)에서 검색되면, 인터넷 비밀번호 잠금을 사용할 수 있는지 여부와 상관없이 SSO 토큰은 항상 Domino® 서버에서 유효합니다.

서버 환경 설정 문서에서 인터넷 비밀번호 잠금을 사용 가능으로 설정합니다. 이렇게 설정하면 관리자가 여러 서버에서 인터넷 잠금 기능을 켤 수 있습니다.

서버 문서 옵션 상위 보안을 가진 더 적은 이름 변화형을 선택하는 것이 좋습니다. 이렇게 하면 모호한 이름의 문제가 최소화됩니다. 단축명이 디렉토리에서 두 명 이상의 사용자와 일치할 수 있지만, Domino®는 약식 사용자 이름으로 웹 서버에 로그인하는 것을 지원합니다(비밀번호가 올바른 경우). 로그인을 시도 중인 사용자가 누구인지 알릴 방법이 없기 때문에, 사용자가 부적합한 이름을 입력할 때 로그인이 올바르지 않으면 각 부적합한 이름이 실패합니다. 더욱이, 사용자 이름 및 비밀번호가 완전히 일치하는 사용자에 대해서만 잠금 만료 설정을 사용하여 실패 횟수를 삭제할 수 있습니다.

인터넷 비밀번호 잠금을 사용하려면 다음 단계를 완료합니다.

프로시저

  1. Domino® Administrator에서 구성 > 서버 > 구성을 클릭합니다. 인터넷 비밀번호 잠금을 사용할 서버에 대한 환경 설정 문서를 엽니다.
  2. 보안을 클릭합니다. 인터넷 비밀번호 잠금 적용 설정에 대한 세 가지 옵션이 있습니다.
    • 예 - 서버가 인터넷 비밀번호 잠금을 수행합니다. 이 옵션은 작동될 인터넷 비밀번호 잠금 기능에서 사용 가능해야 합니다.
    • 아니요 - 서버가 인터넷 비밀번호 잠금을 수행하지 않습니다.
    • (공백) - 이 설정을 비워 둔 경우 수행 옵션이 반드시 사용 안함으로 설정되는 것은 아니며 다른 서버 구성 문서(모든 서버에 적용되는 문서일 수 있음)를 통해 해당 서버에 인터넷 비밀번호 잠금이 사용으로 설정되어 있는지 여부를 확인할 수 있습니다.
      주: 서버 문서에서 인터넷 비밀번호 잠금이 수행되지 않는 경우 정책 문서의 인터넷 잠금 설정과 같은 다른 모든 인터넷 잠금 설정을 사용할 수 없습니다.
  3. 옵션: 이전 단계에서 예를 선택한 경우 Domino 디렉토리에 없는 사용자에 대해 잠금을 적용하려면 다음 단계를 완료합니다.
    1. IP 주소 기반 잠금도 적용을 선택합니다.
    2. 옵션: 디렉토리에 있는 사용자에 대한 로그인 실패도 인터넷 잠금 데이터베이스의 시작 IP 주소에 대한 실패로 간주하려면 사용자 이름 실패도 IP 주소 실패로 간주를 선택합니다. 선택하지 않은 경우 로그인 실패는 사용자 이름에 대한 실패로만 계산됩니다.
  4. 다음 설정을 구성합니다.
    1. 인터넷 비밀번호 잠금 설정
    설정 지정할 항목
    로그 설정 콘솔 및 DDM에 기록할 이벤트 유형을 선택할 수 있습니다. 사용자 이름과 IP 주소도 기록됩니다.
    • 잠금을 선택한 경우, 사용자가 잠근 이벤트와 사용자가 인증을 시도했지만 이미 잠긴 이벤트가 모두 로그됩니다. 기본적으로 사용 불가능합니다.
    • 실패를 선택한 경우, 실패한 인증 시도가 로그됩니다. 또한 인증할 클라이언트의 IP 주소 및 사용자 이름도 기록됩니다.
    기본적으로 허용되는 최대 시도 수 사용자가 잠기기 전에 허용되는 최대 비밀번호 오류 횟수를 지정합니다. 기본값은 5입니다. 사용자가 잠기면 이 설정에 대한 새로운 값을 해당 사용자에게 적용하려면 먼저 사용자를 잠금 해제해야 합니다.

    사용자의 사용자 정책에서 설정 값이 다를 경우 사용자 정책의 설정 값이 서버 환경 설정 문서에 설정된 값을 다시 정의합니다.

    주: 이 값이 0이면 비밀번호 시도가 무제한 허용됩니다.
    기본 잠금 만료 잠금이 수행되는 기간을 지정합니다. 지정된 기간이 만료된 후 사용자 계정은 다음 사용자 인증이 시도될 때 자동으로 잠금 해제됩니다. 또한 모든 실패 시도는 지워집니다.
    주: 이 값이 0이면 잠금 상태가 자동으로 만료되지 않습니다. 계정을 수동으로 잠금 해제해야 합니다.
    기본 최대 시도 간격 성공적인 인증으로 실패한 비밀번호 시도가 지워지기 전에 잠금 데이터베이스에서 보관되는 기간을 지정합니다. 기본값은 24시간입니다.

    이 설정은 잠금된 사용자에게 적용되지 않습니다. 사용자가 잠겨 있는 경우 실패 시도를 지우고 계정을 잠금 해제할 수 있는 유일한 방법은 인터넷 잠금 데이터베이스에서 또는 잠금 만료가 발생할 때 수동으로 잠금을 해제하는 것입니다.

    주: 이 값이 0이면 잠겨 있지 않은 지정된 사용자의 로그인이 성공할 때마다 해당 사용자의 실패한 모든 비밀번호 시도가 지워집니다.
    주: 로그 설정을 제외하고 앞에서 설명한 옵션도 사용자 정책에서 지정할 수 있습니다. 이것은 관리자만 조직의 일부 사용자에게 인터넷 비밀번호 잠금을 수행하려는 경우에 유용할 수 있습니다. 이런 경우 해당 그룹에 대해 해당 설정을 지정할 수 있습니다.
  5. 옵션: 3단계에서 IP 주소 기반 잠금도 적용을 선택한 경우 들어오는 TCP 연결에 대한 IP 주소와 헤더의 각 프록시에 대한 IP 주소가 신뢰할 수 있는 프록시 목록에 포함된 경우에만 X-Forwarded-For 헤더가 포함된 들어오는 HTTP 요청의 유효성을 검사하려면 다음 단계를 완료합니다.
    1. Domino 디렉토리에서 설정을 사용하도록 설정할 서버에 대한 서버 문서를 엽니다.
    2. 인터넷 프로토콜 > HTTP 탭을 선택합니다.
    3. 신뢰된 프록시 섹션에서 신뢰된 프록시 사용을 선택합니다.
    4. 목록 편집을 클릭하고 허용할 IP 주소의 쉼표로 구분된 목록을 지정합니다. 들어오는 TCP 연결에 대한 IP 주소와 X-Forwarded-For 헤더의 IP 주소를 포함합니다.