インターネットパスワードのロックアウトを使用する

インターネットパスワードのロックアウトを使用すると、管理者は、Domino® Web ユーザーや Domino® Web Access ユーザーがインターネットパスワードによる認証で失敗可能なしきい値を設定できます。

このタスクについて

インターネット・ロックアウトにより、設定された試行回数以内でログインできなかったユーザーがロックアウトされるため、ユーザーのインターネット・アカウントに対する総当たり攻撃や辞書攻撃を防ぐことができます。認証の失敗とロックアウトに関する情報は、インターネットロックアウトアプリケーションで管理されます。管理者は、このアプリケーションで失敗をクリアしたり、ユーザーアカウントをロック解除できます。

デフォルトでは、ロックアウトは Domino ディレクトリー内のユーザーに強制されます。HCL Domino® 12 以降では、オプションとして、IP アドレスに応じて、ディレクトリーに存在しないユーザーにもロックアウトを強制できます。このオプションを有効にした場合は、オプションとして、サーバーにアクセスするには、X-Forwarded-For ヘッダーを持つ IP アドレスが、サーバー文書の信頼できるプロキシー・リストに含まれていなければならないようにすることができます。

インターネット・ロックアウト機能は、サービス不能 (DoS) 攻撃を受けやすいことに注意する必要があります。DoS 攻撃とは、悪意のあるユーザーが、正当なユーザーによるサービスの利用を故意に妨げる攻撃のことです。インターネットパスワードのロックアウトの場合、攻撃者が意図的にログインを失敗することにより、正当なインターネットユーザーが Domino® サーバーにログインできなくなる可能性があります。

カスタム DSAPI フィルタを使用中の場合、インターネットのロックアウト機能を利用できないことがあります。これは、DSAPI フィルタが Notes/Domino の認証をバイパスする方法であるためです。

シングルサインオンでは、インターネットパスワードのロックアウト機能が有効な Domino® サーバー以外のサーバーでも、シングルサインオンのキーを発行する必要があります。別のソース (別の Domino® サーバーまたは WebSphere® サーバー) からこのキーを取得する場合、インターネットパスワードのロックアウトが有効であるかどうかに関係なく、SSO トークンは Domino® サーバー上で常に有効になります。

インターネットパスワードのロックアウトはサーバー設定文書で有効にします。これにより、管理者は複数のサーバーでインターネットロックアウト機能を有効にできます。

サーバー文書のオプション [強いセキュリティで少ない名前のバリエーション] を有効にすることをお勧めします。これにより、あいまいな名前による問題が最小限に抑えられます。Domino® では、ディレクトリ内に同じ短縮名が複数ある場合でも、パスワードが正しければ短縮名で Web サーバーへログインできます。ユーザーがあいまいな名前を入力して誤ってログインした場合、ログインしようとしたユーザーを特定できないため、あいまい一致は失敗します。また、ロックアウトの有効期限設定による認証失敗のクリアは、ユーザー名とパスワードの一致が成功したユーザーに対してのみ行われます。

インターネットパスワード・ロックアウトを有効にするには、次の手順を実行します。

手順

  1. Domino® Administrator で [設定] > [サーバー] > [設定] をクリックします。インターネットパスワードのロックアウトを有効にするサーバーのサーバー設定文書を開きます。
  2. 「セキュリティー」をクリックします。[インターネットパスワードを強制的にロックアウト] 設定には、次の 3 つのオプションがあります。
    • [はい] - サーバーでインターネットパスワードのロックアウトが有効になります。インターネットパスワードのロックアウトを実行する場合は、有効にしてください。
    • [いいえ] - サーバーでインターネットパスワードのロックアウトが無効になります。
    • (空白) - この設定が空白のままの場合、[強制] オプションは必ずしも無効になりません。ただし、代わりに別のサーバーの設定文書 (すべてのサーバーに適用される) でこのサーバーのインターネットパスワードのロックアウトが有効かどうかを確認できます。
      注: インターネットパスワードのロックアウトがサーバー設定文書で有効でない場合、ポリシー文書の設定など、他のインターネットロックアウトの設定は無効になります。
  3. オプション: 前の手順で [はい] を選択した場合、Domino ディレクトリーに存在しないユーザーにもロックアウトを強制するには、次の手順を実行します。
    1. [IP アドレスに基づくロックアウトも強制] を選択します。
    2. オプション: ディレクトリー内のユーザーのログイン失敗を、インターネット・ロックアウト・データベースの発信元 IP アドレスの失敗としてもカウントする場合は、[ユーザー名の失敗も IP アドレスの失敗としてカウント ] を選択します。選択しない場合、ログイン失敗はユーザー名の失敗としてのみカウントされます。
  4. 以下の設定を構成できます。
    1. インターネットパスワードのロックアウト設定
    設定 指定
    ログ設定 コンソールと DDM でログを記録するイベントの種類を選択します。ユーザー名と IP アドレスも記録されます。
    • [ロックアウト] を有効にすると、ユーザーがロックアウトされたイベントと、ロックアウトされているときに認証を試みたイベントが両方とも記録されます。これはデフォルトで有効になっています。
    • [失敗] を有効にすると、失敗した認証がすべて記録されます。認証を試みたクライアントの IP アドレスとユーザー名もログに記録されます。
    デフォルトの最大試行回数 ユーザーが間違ったパスワードを入力してロックアウトされるまでの最大回数を指定します。デフォルトは 5 です。ユーザーがロックアウトされた場合、そのユーザーに対して新しい設定値を有効にする前にロックを解除する必要があります。

    ユーザーポリシーに異なる値の設定がある場合は、その値がサーバー設定文書に設定された値より優先されます。

    注: この値が 0 の場合、パスワードの試行は無制限です。
    デフォルトのロックアウトの有効期限 ロックアウトを有効にする期間を指定します。指定した期間が経過すると、ユーザーが次に認証を試みたときにユーザーアカウントが自動的にロック解除されます。また、認証の失敗もすべてクリアされます。
    注: この値が 0 の場合、ロックアウトは自動で期限切れになりません。アカウントは手動でロック解除する必要があります。
    デフォルトの最大試行間隔 不正なパスワードの入力が、認証が成功してクリアされるまでにロックアウトデータベースに保持される期間を指定します。デフォルト値は 24 時間です。

    ロックアウトされたユーザーには適用されません。ユーザーがロックアウトされた場合、認証の失敗をクリアしてアカウントのロックを解除するには、インターネットロックアウトデータベースで手動でこの操作を行うか、ロックアウトの期限が切れる必要があります。

    注: この値が 0 の場合、ロックアウトされていないユーザーがログインに成功するたびに、そのユーザーの不正なパスワードの入力がクリアされます。
    注: ログの設定を除いて、前述のオプションはユーザーポリシーでも指定できます。組織の一部のユーザーに対してのみインターネットパスワードのロックアウトを使用する場合は、この設定が有用です。この場合は、該当するグループにこの設定を適用できます。
  5. オプション: ステップ 3 で [IP アドレスに基づくロックアウトも強制] を選択した場合、受信 TCP 接続の IP アドレスとヘッダー内の各プロキシーの IP アドレスが信頼できるプロキシー・リストに含まれている場合にのみ、X-Forwarded-For ヘッダーを含む着信 HTTP 要求を検証するには、次の手順を実行します。
    1. Domino ディレクトリーで、設定を有効にするサーバーのサーバー文書を開きます。
    2. [インターネット・プロトコル] > [HTTP] タブを選択します。
    3. [信頼するプロキシ] セクションで、[信頼するプロキシを有効にする] を選択します。
    4. [リストの編集] をクリックし、許可する IP アドレスをコンマで区切って指定します。着信 TCP 接続の IP アドレスと X-Forwarded-For ヘッダーの IP アドレスを含めます。