使用網路密碼鎖定

Internet 密碼鎖定可讓管理員為Domino ® Web 和Domino ® Web Access 使用者設定 Internet 密碼驗證失敗的閾值。

關於這個任務

網路鎖定透過鎖定在預設嘗試次數內未能登入的任何用戶,有助於防止對用戶網路帳戶的暴力破解和字典攻擊。有關身份驗證失敗和鎖定的資訊保存在 Internet 鎖定應用程式中,管理員可以分別清除失敗和解鎖使用者帳戶。

預設情況下,對 Domino 目錄中的使用者強制執行鎖定。從HCL Domino ® 12 開始,您也可以選擇根據 IP 位址對不在目錄中的使用者強制鎖定。如果啟用此選項,您可以選擇要求存取伺服器時,則帶有 X-Forwarded-For 標頭的 IP 位址必須包含在伺服器文件的受信任代理程式清單中。

應該注意的是,網路鎖定功能容易受到拒絕服務 (DoS) 攻擊。DoS 攻擊是一種惡意使用者明確阻止某項服務的合法使用者使用該服務的攻擊。在 Internet 密碼鎖定的情況下,攻擊者故意進行失敗的登入嘗試,可能會阻止合法 Internet 使用者登入Domino ®伺服器。

如果正在使用自訂 DSAPI 過濾器,您可能無法利用 Internet 鎖定功能,因為 DSAPI 過濾器是繞過 Notes/Domino 驗證的方法。

對於單一登錄,啟用了 Internet 密碼鎖定功能的Domino ®伺服器也必須是頒發單一登入金鑰的伺服器。如果從另一個來源(另一個Domino ®伺服器或WebSphere ®伺服器)檢索此金鑰,則 SSO 令牌在Domino ®伺服器上始終有效,無論是否啟用 Internet 密碼鎖定。

您可以在伺服器設定檔中啟用 Internet 密碼鎖定。這允許管理員跨多個伺服器開啟 Internet 鎖定功能。

建議啟用“伺服器文件”選項“更少的名稱變體,更高的安全性” 。這最大限度地減少了名稱不明確的問題。Domino ®支援使用簡短形式的使用者名稱(如果密碼正確)登入 Web 伺服器,即使短名稱可能與目錄中的兩個或更多人相符。當使用者輸入不明確的名稱時發生的不正確登入將導致每個不明確的配對失敗,因為無法判斷哪個使用者正在嘗試登入。此外,只有使用者名稱和密碼成功匹配的使用者才會嘗試使用鎖定到期設定清除失敗嘗試。

若要啟用網路密碼鎖定,請完成以下步驟。

程序

  1. Domino ® Administrator 中,按一下設定>伺服器>配置。開啟要啟用 Internet 密碼鎖定的伺服器的設定檔。
  2. 按一下“安全性” 。您可以使用三個選項來設定強制 Internet 密碼鎖定
    • 是 - 伺服器強制執行 Internet 密碼鎖定。必須啟用此選項才能使任何 Internet 密碼鎖定功能發揮作用。
    • 否 - 伺服器不強制執行 Internet 密碼鎖定。
    • (空白)- 如果此設定保持空白,則不一定會停用「強制」選項,而是允許另一台伺服器設定文件(可能適用於所有伺服器)決定是否為此伺服器啟用 Internet 密碼鎖定。
      注意:如果伺服器文件中未強制執行 Internet 密碼鎖定,則任何其他 Internet 鎖定設定(例如原則文件中的設定)都會停用。
  3. 可選:如果您在上一步中選擇了“是”,並且您還想對不在 Domino 目錄中的使用者強制鎖定,請完成以下步驟:
    1. 選擇同時根據 IP 位址強制鎖定
    2. 選用:如果您希望目錄中使用者的登入失敗也計算為 Internet 鎖定資料庫中原始 IP 位址的失敗,請選擇將使用者名稱失敗也計算為 IP 位址失敗。不勾選時,登入失敗僅計為使用者名稱失敗。
  4. 配置以下設定:
    1 .網路密碼鎖定設定
    環境 指定
    日誌設定 您可以選擇要在控制台和 DDM 中記錄的事件類型。使用者名稱和 IP 位址也會被記錄。
    • 如果啟用鎖定,則會記錄使用者被鎖定的事件和使用者嘗試進行身份驗證但已被鎖定的事件。預設情況下啟用此功能。
    • 如果啟用“失敗”,則會記錄任何失敗的身份驗證嘗試。嘗試進行身份驗證的用戶端的 IP 位址和使用者名稱也包含在日誌中。
    預設允許的最大嘗試次數 指定在使用者被鎖定之前允許嘗試錯誤密碼的最大次數。默認值為 5。用戶被鎖定後,必須先解鎖該用戶,然後此設定的任何新值才能對該用戶生效。

    如果使用者在其使用者原則中設定了不同的值,它將覆蓋伺服器配置文件中設定的值。

    注意:如果該值為 0,則允許無限制的密碼嘗試。
    預設鎖定期限 指定強制鎖定的時間段。指定時段到期後,當使用者下次嘗試進行身份驗證時,使用者帳戶將自動解鎖。此外,所有失敗嘗試都會被清除。
    注意:如果該值為0,則鎖定不會自動過期。必須手動解鎖帳戶。
    預設最大嘗試間隔 指定失敗的密碼嘗試在成功的身份驗證將其清除之前在鎖定資料庫中保留的時間長度。預設值為 24 小時。

    這不適用於被鎖定的使用者。如果使用者被鎖定,唯一可以清除失敗嘗試並解鎖帳戶的方法是在 Internet 鎖定資料庫中或在發生鎖定到期時手動執行此操作。

    注意:如果該值為 0,則對於未鎖定的給定用戶,每次成功登入都會清除該用戶的所有失敗密碼嘗試。
    注意:除了日誌設定之外,前面描述的選項也可以在使用者原則中指定。如果管理員只想對組織中的部分使用者實施 Internet 密碼鎖定,這可能會很有用。在這種情況下,可以為該群組建立這些設定。
  5. 選修的: 如果您在步驟 3 中選擇了也根據 IP 位址強制鎖定,並且您希望僅在傳入TCP 連線的IP 位址和IP 位址相同的情況下才驗證帶有X-Forwarded-For 標頭的傳入HTTP 請求,請完成以下步驟標頭中的每個代理程式都包含在可信任代理程式清單中。
    1. 在 Domino 目錄中,開啟要啟用該設定的伺服器的「伺服器」文件。
    2. 選擇網際網路協定 > HTTP選項卡。
    3. 「可信任代理」部分中,選擇「啟用可信任代理」
    4. 按一下編輯清單並指定要允許的以逗號分隔的 IP 位址清單。包括傳入 TCP 連線的 IP 位址和 X-Forwarded-For 標頭中的 IP 位址。