インターネットパスワードのロックアウトを使用する

インターネット パスワード ロックアウトを使用すると、管理者はDomino ® Web およびDomino ® Web Access ユーザーのインターネット パスワード認証失敗のしきい値を設定できます。

このタスクについて

インターネット・ロックアウトにより、設定された試行回数以内でログインできなかったユーザーがロックアウトされるため、ユーザーのインターネット・アカウントに対する総当たり攻撃や辞書攻撃を防ぐことができます。認証の失敗とロックアウトに関する情報は、インターネットロックアウトアプリケーションで管理されます。

デフォルトでは、ロックアウトは Domino ディレクトリー内のユーザーに強制されます。HCL Domino ® 12 以降では、オプションで、IP アドレスに基づいてディレクトリに存在しないユーザーに対してロックアウトを適用することもできます。このオプションを有効にした場合は、オプションとして、サーバーにアクセスするには、X-Forwarded-For ヘッダーを持つ IP アドレスが、サーバー文書の信頼できるプロキシー・リストに含まれていなければならないようにすることができます。

インターネット・ロックアウト機能は、サービス不能 (DoS) 攻撃を受けやすいことに注意する必要があります。DoS 攻撃とは、悪意のあるユーザーが、正当なユーザーによるサービスの利用を故意に妨げる攻撃のことです。インターネット パスワード ロックアウトの場合、攻撃者が故意にログイン試行を失敗させることで、正当なインターネット ユーザーがDomino ®サーバーにログインできなくなる可能性があります。

カスタム DSAPI フィルタを使用中の場合、インターネットのロックアウト機能を利用できないことがあります。

シングル サインオンの場合、インターネット パスワード ロックアウト機能が有効になっているDomino ®サーバーは、シングル サインオン キーを発行するサーバーでもある必要があります。このキーが別のソース (別のDomino ®サーバーまたはWebSphere ®サーバー) から取得された場合、インターネット パスワード ロックが有効になっているかどうかに関係なく、SSO トークンはDomino ®サーバー上で常に有効になります。

インターネットパスワードのロックアウトはサーバー設定文書で有効にします。これにより、管理者は複数のサーバーでインターネットロックアウト機能を有効にできます。

サーバー文書のオプション [強いセキュリティで少ない名前のバリエーション] を有効にすることをお勧めします。これにより、あいまいな名前による問題が最小限に抑えられます。Domino ® では、短縮名がディレクトリ内の 2 人以上のユーザーと一致する場合でも、短縮形式のユーザー名 (パスワードが正しい場合) を使用して Web サーバーにログインできます。ユーザーがあいまいな名前を入力して誤ってログインした場合、ログインしようとしたユーザーを特定できないため、あいまい一致は失敗します。また、ロックアウトの有効期限設定による認証失敗のクリアは、ユーザー名とパスワードの一致が成功したユーザーに対してのみ行われます。

インターネットパスワード・ロックアウトを有効にするには、次の手順を実行します。

手順

  1. Domino ® Administratorで、設定をクリックします。 > サーバ > 構成。インターネット パスワード ロックアウトを有効にするサーバーの構成設定ドキュメントを開きます。
  2. 「セキュリティー」をクリックします。[インターネットパスワードを強制的にロックアウト] 設定には、次の 3 つのオプションがあります。
    • [はい] - サーバーでインターネットパスワードのロックアウトが有効になります。インターネットパスワードのロックアウトを実行する場合は、有効にしてください。
    • [いいえ] - サーバーでインターネットパスワードのロックアウトが無効になります。
    • (空白) - この設定が空白のままの場合、[強制] オプションは必ずしも無効になりません。
      注:サーバー文書でインターネット パスワード ロックアウトが適用されていない場合、ポリシー文書内のインターネット ロックアウト設定など、その他のインターネット ロックアウト設定は無効になります。
  3. オプション: 前の手順で [はい] を選択した場合、Domino ディレクトリに存在しないユーザーに対してもロックアウトを適用するには、次の手順を実行します。
    1. [IP アドレスに基づくロックアウトも強制] を選択します。
    2. オプション: ディレクトリ内のユーザーのログイン失敗を、インターネット ロックアウト データベース内の発信元 IP アドレスの失敗としてもカウントする場合は、 [ユーザー名の失敗を IP アドレスの失敗としてもカウントする]を選択します。選択しない場合、ログイン失敗はユーザー名の失敗としてのみカウントされます。
  4. 以下の設定を構成できます。
    1 インターネットパスワードのロックアウト設定
    設定 指定
    ログ設定 コンソールと DDM に記録するイベントの種類を選択できます。ユーザー名と IP アドレスも記録されます。
    • [ロックアウト] を有効にすると、ユーザーがロックアウトされたイベントと、ロックアウトされているときに認証を試みたイベントが両方とも記録されます。これはデフォルトで有効になっています。
    • [失敗] を有効にすると、失敗した認証がすべて記録されます。認証を試みたクライアントの IP アドレスとユーザー名もログに記録されます。
    デフォルトの最大試行回数 ユーザーが間違ったパスワードを入力してロックアウトされるまでの最大回数を指定します。デフォルトは 5 です。ユーザーがロックアウトされた場合、そのユーザーに対して新しい設定値を有効にする前にロックを解除する必要があります。

    ユーザーポリシーに異なる値の設定がある場合は、その値がサーバー設定文書に設定された値より優先されます。

    注:この値が 0 の場合、パスワードの試行回数は無制限になります。
    デフォルトのロックアウトの有効期限 ロックアウトを有効にする期間を指定します。指定した期間が経過すると、ユーザーが次に認証を試みたときにユーザーアカウントが自動的にロック解除されます。また、認証の失敗もすべてクリアされます。
    注:この値が 0 の場合、ロックアウトは自動的に期限切れになりません。アカウントは手動でロック解除する必要があります。
    デフォルトの最大試行間隔 不正なパスワードの入力が、認証が成功してクリアされるまでにロックアウトデータベースに保持される期間を指定します。デフォルト値は 24 時間です。

    ロックアウトされたユーザーには適用されません。ユーザーがロックアウトされた場合、認証の失敗をクリアしてアカウントのロックを解除するには、インターネットロックアウトデータベースで手動でこの操作を行うか、ロックアウトの期限が切れる必要があります。

    注:この値が 0 の場合、ロックアウトされていない特定のユーザーがログインに成功するたびに、そのユーザーによる失敗したパスワード試行がすべてクリアされます。
    注:ログ設定を除き、前述のオプションはユーザー ポリシーでも指定できます。組織の一部のユーザーに対してのみインターネットパスワードのロックアウトを使用する場合は、この設定が有用です。この場合は、該当するグループにこの設定を適用できます。
  5. オプション: 手順 3 で[IP アドレスに基づいてロックアウトを適用する]を選択した場合、着信 TCP 接続の IP アドレスとヘッダー内の各プロキシの IP アドレスが信頼できるプロキシ リストに含まれている場合にのみ、X-Forwarded-For ヘッダーを含む着信 HTTP 要求を検証するには、次の手順を実行します。
    1. Domino ディレクトリーで、設定を有効にするサーバーのサーバー文書を開きます。
    2. インターネットプロトコルを選択する > HTTPタブ。
    3. [信頼するプロキシ] セクションで、[信頼するプロキシを有効にする] を選択します。
    4. [リストの編集] をクリックし、許可する IP アドレスをコンマで区切って指定します。着信 TCP 接続の IP アドレスと X-Forwarded-For ヘッダーの IP アドレスを含めます。