Utilisation du verrouillage par mot de passe Internet

Le verrouillage du mot de passe Internet permet aux administrateurs de définir une valeur seuil pour les échecs d'authentification par mot de passe Internet pour les utilisateurs Domino ® Web et Domino ® Web Access.

À propos de cette tâche

Le verrouillage Internet aide à empêcher les attaques par force brute et par dictionnaire sur les comptes Internet des utilisateurs en verrouillant tout utilisateur qui ne parvient pas à se connecter dans un nombre prédéfini de tentatives. Les informations sur les échecs d'authentification et les verrouillages sont conservées dans l'application Internet Lockout, où l'administrateur peut respectivement effacer les échecs et déverrouiller les comptes d'utilisateurs.

Par défaut, des verrouillages sont appliqués aux utilisateurs de l'annuaire Domino. À partir de HCL Domino ® 12, vous pouvez également, en option, appliquer des verrouillages pour les utilisateurs qui ne sont pas dans l'annuaire en fonction des adresses IP. Si vous activez cette option, vous pouvez éventuellement exiger que pour accéder à un serveur, les adresses IP avec les en-têtes X-Forwarded-For doivent être incluses dans une liste de proxys de confiance dans le document Serveur.

Il convient de noter que la fonctionnalité de verrouillage Internet est sujette aux attaques par déni de service (DoS). Une attaque DoS est une attaque dans laquelle des utilisateurs malveillants empêchent explicitement les utilisateurs légitimes d'un service d'utiliser ce service. En cas de verrouillage par mot de passe Internet, les utilisateurs Internet légitimes pourraient être empêchés de se connecter à un serveur Domino ® par des attaquants qui échouent intentionnellement en tentant de se connecter.

Vous ne pourrez peut-être pas exploiter la fonctionnalité de verrouillage Internet si des filtres DSAPI personnalisés sont utilisés, car le filtre DSAPI est un moyen de contourner l'authentification Notes/Domino.

Pour la connexion unique, le serveur Domino ® sur lequel la fonction de verrouillage par mot de passe Internet est activée doit également être le serveur qui émet la clé de connexion unique. Si cette clé est récupérée à partir d'une autre source (un autre serveur Domino ® ou serveur WebSphere ® ), le jeton SSO sera toujours valide sur le serveur Domino ® , que le verrouillage par mot de passe Internet soit activé ou non.

Vous activez le verrouillage du mot de passe Internet dans le document des paramètres de configuration du serveur. Cela permet aux administrateurs d'activer la fonctionnalité de verrouillage Internet sur plusieurs serveurs.

Il est recommandé d'activer l'option du document Serveur Moins de variantes de nom avec une sécurité plus élevée . Cela minimise le problème des noms ambigus. Domino ® prend en charge la connexion au serveur Web avec une forme abrégée du nom d'utilisateur (si le mot de passe est correct), même si le nom abrégé peut correspondre à deux personnes ou plus dans l'annuaire. Les connexions incorrectes qui se produisent lorsqu'un utilisateur saisit un nom ambigu entraîneront un échec pour chaque correspondance ambiguë, car il n'existe aucun moyen de savoir quel utilisateur essayait de se connecter. De plus, les tentatives d'échec effacées à l'aide des paramètres d'expiration du verrouillage se produisent uniquement pour l'utilisateur dont le nom d'utilisateur et le mot de passe correspondent avec succès.

Pour activer le verrouillage par mot de passe Internet, procédez comme suit.

Procédure

  1. In the Domino® Administrator, click Configuration > Server > Configurations. Open the configuration settings document for the server for which you want to enable Internet password lockout.
  2. Cliquez sur Sécurité . Vous disposez de trois options pour le paramètre Appliquer le verrouillage du mot de passe Internet :
    • Oui, le serveur applique le verrouillage du mot de passe Internet. Cette option doit être activée pour que toute fonctionnalité de verrouillage par mot de passe Internet fonctionne.
    • Non, le serveur n'applique pas le verrouillage du mot de passe Internet.
    • (Vide) - Si ce paramètre reste vide, l'option Appliquer n'est pas nécessairement désactivée, mais permet à un autre document de configuration du serveur (peut-être celui qui s'applique à tous les serveurs) de déterminer si le verrouillage par mot de passe Internet est activé pour ce serveur.
      Remarque : Si le verrouillage par mot de passe Internet n'est pas appliqué dans le document Serveur, tous les autres paramètres de verrouillage Internet, tels que ceux d'un document de stratégie, sont désactivés.
  3. Facultatif : Si vous avez sélectionné Oui à l'étape précédente, procédez comme suit si vous souhaitez également appliquer le verrouillage aux utilisateurs qui ne se trouvent pas dans l'annuaire Domino :
    1. Sélectionnez Appliquer également le verrouillage en fonction de l'adresse IP .
    2. Facultatif : Si vous souhaitez qu'un échec de connexion pour un utilisateur dans l'annuaire soit également compté comme un échec pour l'adresse IP d'origine dans la base de données de verrouillage Internet, sélectionnez Compter les échecs de nom d'utilisateur également comme échecs d'adresse IP . Lorsqu'elle n'est pas sélectionnée, l'échec de connexion est compté comme un échec pour le nom d'utilisateur uniquement.
  4. Configurez les paramètres suivants :
    Tableau 1 . Paramètres de verrouillage du mot de passe Internet
    Paramètre Spécifier
    Paramètres du journal Vous pouvez choisir le type d'événements que vous souhaitez enregistrer sur la console et dans DDM. Le nom d'utilisateur et l'adresse IP sont également enregistrés.
    • Si les verrouillages sont activés, les événements dans lesquels un utilisateur a été verrouillé et les événements dans lesquels un utilisateur tente de s'authentifier mais est déjà verrouillé sont enregistrés. C'est activé par défault.
    • Si l'option Échecs est activée, toute tentative d'authentification ayant échoué est enregistrée. L'adresse IP et le nom d'utilisateur du client essayant de s'authentifier sont également inclus dans le journal.
    Nombre maximum d'essais par défaut autorisés Spécifiez le nombre maximum de tentatives de mot de passe incorrectes autorisées avant que l'utilisateur ne soit verrouillé. La valeur par défaut est 5. Une fois l'utilisateur verrouillé, il doit être déverrouillé avant que les nouvelles valeurs de ce paramètre ne soient prises en compte pour cet utilisateur.

    Si un utilisateur a une valeur différente pour le paramètre dans sa stratégie utilisateur, celle-ci remplace celle définie dans le document de configuration du serveur.

    Remarque : Si cette valeur est 0, un nombre illimité de tentatives de mot de passe est autorisé.
    Expiration du verrouillage par défaut Spécifiez la période pendant laquelle un verrouillage est appliqué. Une fois la période spécifiée expirée, le compte utilisateur est automatiquement déverrouillé lorsque l'utilisateur tente à nouveau de s'authentifier. De plus, toutes les tentatives ayant échoué sont effacées.
    Remarque : si cette valeur est 0, le verrouillage n’expirera pas automatiquement. Le compte doit être déverrouillé manuellement.
    Intervalle maximal de tentatives par défaut Spécifiez la durée pendant laquelle les tentatives de mot de passe infructueuses sont conservées dans la base de données de verrouillage avant de pouvoir être effacées par une authentification réussie. La valeur par défaut est 24 heures.

    Ceci ne s’applique pas aux utilisateurs qui sont bloqués. Si un utilisateur est bloqué, la seule chose qui peut effacer les tentatives d'échec et déverrouiller le compte est de le faire manuellement, dans la base de données de blocage Internet ou lorsque l'expiration du blocage se produit.

    Remarque : si cette valeur est 0, chaque connexion réussie, pour un utilisateur donné qui n'est pas verrouillé, efface toutes les tentatives de mot de passe ayant échoué par cet utilisateur.
    Remarque : à l’exception des paramètres de journal, les options décrites précédemment peuvent également être spécifiées dans une politique utilisateur. Cela peut être utile si un administrateur souhaite uniquement appliquer le verrouillage du mot de passe Internet à un sous-ensemble d’utilisateurs d’une organisation. Dans ce cas, ces paramètres peuvent être définis pour ce groupe.
  5. Facultatif: Si vous avez sélectionné Appliquer également le verrouillage en fonction de l'adresse IP à l'étape 3, procédez comme suit si vous souhaitez qu'une requête HTTP entrante avec un en-tête X-Forwarded-For soit validée uniquement si l'adresse IP de la connexion TCP entrante et l'adresse IP de chaque proxy dans l'en-tête sont incluses dans une liste de proxys approuvés.
    1. Dans le répertoire Domino, ouvrez le document Serveur d’un serveur sur lequel activer le paramètre.
    2. Sélectionnez les protocoles Internet > Onglet HTTP .
    3. Dans la section Proxies approuvés , sélectionnez Activer les proxys approuvés .
    4. Cliquez sur Modifier la liste et spécifiez une liste séparée par des virgules d’adresses IP à autoriser. Inclure les adresses IP pour les connexions TCP entrantes et les adresses IP dans les en-têtes X-Forwarded-For.