使用互联网密码锁定

Internet 密码锁定允许管理员为Domino ® Web 和Domino ® Web Access 用户设置 Internet 密码验证失败的阈值。

关于这个任务

互联网锁定通过锁定在预设尝试次数内未能登录的任何用户,有助于防止对用户互联网帐户的暴力破解和字典攻击。有关身份验证失败和锁定的信息保存在 Internet 锁定应用程序中,管理员可以分别清除失败和解锁用户帐户。

默认情况下,对 Domino 目录中的用户强制执行锁定。从HCL Domino ® 12 开始,您还可以选择根据 IP 地址对不在目录中的用户强制锁定。如果启用此选项,您可以选择要求访问服务器时,带有 X-Forwarded-For 标头的 IP 地址必须包含在服务器文档的受信任代理列表中。

应该注意的是,互联网锁定功能容易受到拒绝服务 (DoS) 攻击。DoS 攻击是一种恶意用户明确阻止某项服务的合法用户使用该服务的攻击。在 Internet 密码锁定的情况下,攻击者故意进行失败的登录尝试,可能会阻止合法 Internet 用户登录到Domino ®服务器。

如果正在使用自定义 DSAPI 过滤器,您可能无法利用 Internet 锁定功能,因为 DSAPI 过滤器是绕过 Notes/Domino 身份验证的一种方法。

对于单点登录,启用了 Internet 密码锁定功能的Domino ®服务器也必须是颁发单点登录密钥的服务器。如果从另一个源(另一个Domino ®服务器或WebSphere ®服务器)检索此密钥,则 SSO 令牌在Domino ®服务器上始终有效,无论是否启用 Internet 密码锁定。

您可以在服务器配置设置文档中启用 Internet 密码锁定。这允许管理员跨多个服务器打开 Internet 锁定功能。

建议启用服务器文档选项“更少的名称变体,更高的安全性” 。这最大限度地减少了名称不明确的问题。Domino ®支持使用简短形式的用户名(如果密码正确)登录到 Web 服务器,即使短名称可能与目录中的两个或更多人匹配。当用户输入不明确的名称时发生的不正确登录将导致每个不明确的匹配失败,因为无法判断哪个用户正在尝试登录。此外,只有用户名和密码成功匹配的用户才会尝试使用锁定到期设置清除失败尝试。

要启用互联网密码锁定,请完成以下步骤。

程序

  1. Domino ® Administrator 中,单击配置>服务器>配置。打开要启用 Internet 密码锁定的服务器的配置设置文档。
  2. 单击“安全” 。您可以使用三个选项来设置强制 Internet 密码锁定
    • 是 - 服务器强制执行 Internet 密码锁定。必须启用此选项才能使任何 Internet 密码锁定功能发挥作用。
    • 否 - 服务器不强制执行 Internet 密码锁定。
    • (空白)- 如果此设置保持空白,则不一定禁用“强制”选项,而是允许另一台服务器配置文档(可能适用于所有服务器)确定是否为此服务器启用 Internet 密码锁定。
      注意:如果服务器文档中未强制执行 Internet 密码锁定,则任何其他 Internet 锁定设置(例如策略文档中的设置)都将被禁用。
  3. 可选:如果您在上一步中选择了“是”,并且您还想对不在 Domino 目录中的用户强制锁定,请完成以下步骤:
    1. 选择同时根据 IP 地址强制锁定
    2. 可选:如果您希望目录中用户的登录失败也计为 Internet 锁定数据库中原始 IP 地址的失败,请选择将用户名失败也计为 IP 地址失败。不勾选时,登录失败仅计为用户名失败。
  4. 配置以下设置:
    1 .互联网密码锁定设置
    环境 指定
    日志设置 您可以选择要在控制台和 DDM 中记录的事件类型。用户名和 IP 地址也会被记录。
    • 如果启用锁定,则会记录用户被锁定的事件和用户尝试进行身份验证但已被锁定的事件。默认情况下启用此功能。
    • 如果启用“失败”,则会记录任何失败的身份验证尝试。尝试进行身份验证的客户端的 IP 地址和用户名也包含在日志中。
    默认允许的最大尝试次数 指定在用户被锁定之前允许尝试错误密码的最大次数。默认值为 5。用户被锁定后,必须先解锁该用户,然后此设置的任何新值才能对该用户生效。

    如果用户在其用户策略中设置了不同的值,它将覆盖服务器配置文档中设置的值。

    注意:如果该值为 0,则允许无限制的密码尝试。
    默认锁定到期时间 指定强制锁定的时间段。指定时间段到期后,当用户下次尝试进行身份验证时,用户帐户将自动解锁。此外,所有失败尝试都将被清除。
    注意:如果该值为 0,则锁定不会自动过期。必须手动解锁帐户。
    默认最大尝试间隔 指定在通过成功的身份验证清除失败的密码尝试之前,锁定数据库中保留失败密码尝试的时间长度。默认值为 24 小时。

    这不适用于被锁定的用户。如果用户被锁定,唯一可以清除失败尝试并解锁帐户的方法是在 Internet 锁定数据库中手动执行此操作,或者在锁定到期时执行此操作。

    注意:如果此值为 0,则对于未被锁定的特定用户,每次成功登录都会清除该用户的所有失败的密码尝试。
    注意:除了日志设置之外,前面描述的选项也可以在用户策略中指定。如果管理员只想对组织中的部分用户强制实施 Internet 密码锁定,这可能会很有用。在这种情况下,可以为该组建立这些设置。
  5. 选修的: 如果您在步骤 3 中选择了还根据 IP 地址强制锁定,并且希望仅当传入 TCP 连接的 IP 地址和标头中每个代理的 IP 地址包含在受信任的代理列表中时,才验证带有 X-Forwarded-For 标头的传入 HTTP 请求,请完成以下步骤。
    1. 在 Domino 目录中,打开要启用该设置的服务器的服务器文档。
    2. 选择Internet 协议 > HTTP选项卡。
    3. “受信任的代理”部分中,选择启用受信任的代理
    4. 单击编辑列表并指定要允许的 IP 地址的逗号分隔列表。包括传入 TCP 连接的 IP 地址和 X-Forwarded-For 标头中的 IP 地址。