인터넷 비밀번호 잠금 사용

Internet password lockout lets administrators set a threshold value for Internet password authentication failures for Domino® Web and Domino® Web Access users.

이 작업 정보

인터넷 잠금은 미리 설정된 시도 횟수 내에 로그인에 실패한 사용자를 차단하여 사용자 인터넷 계정에 대한 무차별 공격 및 사전 공격을 방지하는 데 도움이 됩니다. 인증 실패 및 잠금에 대한 정보는 관리자가 각각 실패를 지우고 사용자 계정을 잠금 해제할 수 있는 인터넷 잠금 애플리케이션에 유지됩니다.

기본적으로 Domino 디렉토리의 사용자에게는 잠금이 적용됩니다. HCL Domino ® 12부터는 선택적으로 IP 주소에 따라 디렉터리에 없는 사용자에 대한 잠금을 시행할 수도 있습니다. 이 옵션을 활성화하면 선택적으로 서버에 액세스하기 위해 X-Forwarded-For 헤더가 있는 IP 주소가 서버 문서의 신뢰할 수 있는 프록시 목록에 포함되어야 하도록 요구할 수 있습니다.

It should be noted that the Internet lockout feature is subject to Denial of Service (DoS) attacks. A DoS attack is one in which malicious users explicitly prevent legitimate users of a service from using that service. In the case of Internet password lockout, legitimate Internet users could be prevented from logging in to a Domino® server by attackers who intentionally make failed log in attempts.

DSAPI 필터는 Notes/Domino 인증을 우회하는 방법이므로 사용자 정의 DSAPI 필터를 사용 중인 경우 인터넷 잠금 기능을 활용하지 못할 수 있습니다.

For single sign-on, the Domino® server on which the Internet password lockout feature is enabled must also be the server that issues the single sign-on key. If this key is retrieved from another source (another Domino® server or WebSphere® server), the SSO token will always be valid on the Domino® server, regardless if Internet password locking is enabled.

서버 구성 설정 문서에서 인터넷 비밀번호 잠금을 활성화합니다. 이를 통해 관리자는 여러 서버에 걸쳐 인터넷 잠금 기능을 켤 수 있습니다.

It is recommended that the Server document option Fewer name variations with higher security is enabled. This minimizes the problem of ambiguous names. Domino® supports logging in to the Web server with a short form of the user name (if the password is correct), even though the short name may match two or more people in the directory. Incorrect logins that occur when a user types in an ambiguous name will result in a failure for each ambiguous match, because there is no way to tell which user was trying to log in. Furthermore, failure attempts being cleared using the lockout expiration settings occur only for the user whose username and password successfully match.

인터넷 비밀번호 잠금을 활성화하려면 다음 단계를 완료하세요.

절차

  1. In the Domino® Administrator, click Configuration > Server > Configurations. Open the configuration settings document for the server for which you want to enable Internet password lockout.
    • 예 - 서버는 인터넷 비밀번호 잠금을 시행합니다. 인터넷 비밀번호 잠금 기능이 작동하려면 이 옵션을 활성화해야 합니다.
    • 아니요 - 서버는 인터넷 비밀번호 잠금을 시행하지 않습니다.
    • (비어 있음) - 이 설정이 비어 있으면 강제 적용 옵션이 반드시 비활성화되는 것은 아니지만 대신 다른 서버 구성 문서(아마도 모든 서버에 적용되는 문서)가 이 서버에 대해 인터넷 비밀번호 잠금이 활성화되어 있는지 여부를 결정할 수 있습니다.
      참고: 서버 문서에서 인터넷 비밀번호 잠금이 시행되지 않으면 정책 문서의 설정과 같은 다른 인터넷 잠금 설정이 비활성화됩니다.
  3. 선택 과목: 이전 단계에서 예를 선택한 경우 Domino 디렉토리에 없는 사용자에 대해서도 잠금을 적용하려면 다음 단계를 완료하십시오.
    2. 선택 과목: 디렉터리에 있는 사용자의 로그인 실패가 인터넷 잠금 데이터베이스의 원래 IP 주소에 대한 실패로도 계산되도록 하려면 사용자 이름 실패도 IP 주소 실패로 계산 을 선택합니다. 선택하지 않으면 로그인 실패가 사용자 이름에 대해서만 실패로 계산됩니다.
  4. Configure the following settings:
    1 . 인터넷 비밀번호 잠금 설정
    환경 지정하다
    로그 설정 콘솔과 DDM에 로그인하려는 이벤트 유형을 선택할 수 있습니다. 사용자 이름과 IP 주소도 기록됩니다.
    • 잠금이 활성화되면 사용자가 잠긴 이벤트와 사용자가 인증을 시도하지만 이미 잠긴 이벤트가 모두 기록됩니다. 이는 기본적으로 활성화되어 있습니다.
    • 실패가 활성화되면 실패한 인증 시도가 모두 기록됩니다. 인증을 시도하는 클라이언트의 IP 주소와 사용자 이름도 로그에 포함됩니다.
    허용되는 기본 최대 시도 횟수 사용자가 잠기기 전에 허용되는 잘못된 비밀번호 시도의 최대 횟수를 지정합니다. 기본값은 5입니다. 사용자가 잠긴 후에는 이 설정의 새 값이 해당 사용자에게 적용되기 전에 사용자를 잠금 해제해야 합니다.

    사용자가 사용자 정책의 설정에 대해 다른 값을 갖고 있는 경우 서버 구성 문서에 설정된 값을 재정의합니다.

    참고: 이 값이 0이면 무제한 비밀번호 시도가 허용됩니다.
    기본 잠금 만료 잠금이 시행되는 기간을 지정합니다. 지정된 기간이 만료된 후 사용자가 다음에 인증을 시도하면 사용자 계정이 자동으로 잠금 해제됩니다. 또한 모든 실패 시도가 지워집니다.
    참고: 이 값이 0이면 잠금이 자동으로 만료되지 않습니다. 계정을 수동으로 잠금 해제해야 합니다.
    기본 최대 시도 간격 실패한 비밀번호 시도가 성공적인 인증으로 지워지기 전에 잠금 데이터베이스에 보관되는 기간을 지정합니다. 기본값은 24시간입니다.

    이는 잠긴 사용자에게는 적용되지 않습니다. 사용자가 잠긴 경우 실패 시도를 지우고 계정 잠금을 해제할 수 있는 유일한 방법은 인터넷 잠금 데이터베이스에서 수동으로 수행하거나 잠금 만료가 발생할 때 수행하는 것입니다.

    참고: 이 값이 0이면 잠기지 않은 특정 사용자에 대해 로그인이 성공할 때마다 해당 사용자의 실패한 비밀번호 시도가 모두 지워집니다.
    참고: 로그 설정을 제외하고 이전에 설명한 옵션을 사용자 정책에서 지정할 수도 있습니다. 이는 관리자가 조직의 일부 사용자에 대해서만 인터넷 비밀번호 잠금을 적용하려는 경우 유용할 수 있습니다. 이 경우 해당 그룹에 대해 이러한 설정을 구성할 수 있습니다.
  5. 선택 과목: 3단계에서 IP 주소 기반 잠금도 적용을 선택한 경우, 들어오는 TCP 연결에 대한 IP 주소와 IP 주소가 X-Forwarded-For 헤더가 있는 수신 HTTP 요청의 유효성을 검사하려면 다음 단계를 완료하십시오. 헤더의 각 프록시에 대한 정보는 신뢰할 수 있는 프록시 목록에 포함됩니다.
    1. In the Domino directory, open the Server document for a server on which to enable the setting.
    2. 인터넷 프로토콜 선택 > HTTP 탭.
    3. In the Trusted Proxies section, select Enable trusted proxies.
    4. Click Edit List and specify a comma-separated list of IP addresses to allow. Include IP addresses for incoming TCP connections and the IP addresses in X-Forwarded-For headers.