本文介绍如何配置Domino服务器的Internet口令锁定功能,通过设置登录失败次数阈值及锁定时间,有效防止恶意攻击和字典攻击。文章还介绍了如何在控制台查看锁定提示以及管理员如何手动解锁账户。
【功能概述】
Internet 口令锁定使得管理员能够为 Domino Web 和 Domino Web 访问用户的 Internet 认证失败次数设置一个阈值。这种方式通过将任何在已建立的阈值范围内无法登录的用户进行锁定,可帮助防止针对用户 Internet 帐户的恶意力量和字典攻击。有关认证失败和锁定的信息在 Internet 锁定应用程序中维护,管理员可以在该应用程序中分别清除失败和解锁用户帐户。
应该注意的一点是,此功能容易受到服务拒绝 (DoS) 攻击。DoS 攻击指的是这样一种攻击:恶意用户明确阻止某个服务的合法用户使用该服务。对于这种 Internet 口令锁定情况,可能会有故意进行失败登录尝试的攻击者来阻止合法的 Internet 用户登录 Domino 服务器。
【启用方法】
1、使用Administrator连接服务器后,打开“配置”附签,并在左侧依次展开“服务器”-“配置”设置项。
2、在上图右侧列表中选择要编辑的配置,这里我们选择“[所有服务器]”。选择后双击该配置或点击“编辑配置”操作按钮进入下图所示界面。选择“安全性”附签。
3、将“强制因特网密码锁定”选择为“是”,并进行详细配置。实例数据如下:
如此便可实现因特网错误尝试5次以后自动锁定该账户,并于30分钟内无法再次登录,即使输入正确密码也不允许登录。
4、设置项详解:
|
域 |
操作 |
|
强制 Internet 口令锁定 |
(必填)如果启用,服务器则会强制 Internet 口令锁定。要使得任何 Internet 口令锁定功能能够运行,必须启用此选项。如果将此选项设置为“是”,则显示下面所述的设置。 |
|
日志设置 |
如果已启用“锁定”,则会记录用户已经锁定的事件以及用户尝试认证但已锁定的事件。 如果已启用“失败”,则会记录任何失败的认证尝试。日志中还会包括正在尝试认证的客户机的 IP 地址和用户名。 |
|
缺省允许的最大尝试次数 |
锁定之前允许的最大口令尝试次数。设置为 0 时,允许无限次的口令尝试。 |
|
缺省锁定截止时间 |
强制执行锁定的时间周期。可以将此时间设置为分钟、小时或天数。此时限之后,用户下一次尝试认证时该用户帐户将自动解除锁定。设置为 0 时,将禁用自动锁定。 |
|
缺省最大尝试时间间隔 |
成功认证清除任何以前失败尝试之前必须经过的时间长度。可以将此时间设置为分钟、小时或天数。指定一个较长的时间间隔,以获取更大安全。设置为 0 时,每次成功认证时都会清除失败的口令尝试。 |
5、锁定期间试图登录该账户时服务器控制台有如下提示:
6、管理员希望手动解锁某账户时,可访问数据库inetlockout.nsf,打开视图“Locked out users”,删除该账户的锁定信息即可。
扫一扫
602
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
