注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

mylotustips的博客

IBM Lotus协作产品家族经验分享

 
 
 

日志

 
 
关于我

欢迎大家使用SR向IBM800提交问题http://www.ibm.com/support/servicerequest 可以随时查看问题状态,上传文件

网易考拉推荐

如何使用 Internet 口令锁定  

2012-03-22 11:25:44|  分类: Domino服务器 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

关于加强 Internet 密码安全性管理,避免字典式刺探 Web 账号造成信息泄漏,请参考以下文档:

http://publib.boulder.ibm.com/infocenter/domhelp/v8r0/index.jsp?topic=%2Fcom.ibm.help.domino.admin85.doc%2FH_SECURING_THE_INTERNET_PASSWORD_IN_THE_PERSON_DOCUMENT_7640_STEPS.html

使用 Internet 口令锁定

Internet 口令锁定使得管理员能够为 Domino Web 和 Domino Web 访问用户的 Internet 认证失败次数设置一个阈值。这种方式通过将任何在已建立的阈值范围内无法登录的用户进行锁定,可帮助防止针对用户 Internet 帐户的恶意力量和字典攻击。有关认证失败和锁定的信息在 Internet 锁定应用程序中维护,管理员可以在该应用程序中分别清除失败和解锁用户帐户。

应该注意的一点是,此功能容易受到服务拒绝 (DoS) 攻击。DoS 攻击指的是这样一种攻击:恶意用户明确阻止某个服务的合法用户使用该服务。对于这种 Internet 口令锁定情况,可能会有故意进行失败登录尝试的攻击者来阻止合法的 Internet 用户登录 Domino 服务器。

备注 Internet 口令锁定对 Domino 脱机服务 (DOLS) 没有影响。

Internet 口令锁定有一些使用限制:

  • 只能对于 Web 访问使用 Internet 口令锁定。其他 Internet 协议和服务(如 LDAP、POP、IMAP、DIIOP、IBM(R) Lotus(R) QuickPlace(R) 和 IBM(R) Lotus(R) Sametime(R))目前不受支持。但是,如果用于认证的口令存储在 LDAP 服务器上,则可以将 Internet 口令锁定用于 Web 访问。
  • 如果正在使用定制的 DSAPI 过滤器,则可能不能使用 Internet 锁定功能,因为 DSAPI 过滤器是一种忽略 Notes/Domino 认证的方式。
对于单次登录,其中启用了 Internet 口令锁定的 Domino 服务器必须同时是颁发单次登录密钥的服务器。如果此密钥是从另一个源(另一个 Domino 服务器或 WebSphere 服务器)检索的,SSO 令牌在该 Domino 服务器上则一直有效,而无论是否启用了 Internet 口令锁定。

Internet 锁定数据库

Internet 锁定数据库 (inetlockout.nsf) 是根据 inetlockout.ntf 在以下情况下创建的:

  • 启动时(如果已经启用了 Internet 锁定功能),或者
  • 需要第一次查看或写入锁定数据库时。这种情况不需要重新启动,但是启用了该功能的时间与打开或写入锁定数据库的时间之间必须经过十分钟。
缺省情况下,Internet 锁定数据库 ACL 仅允许管理员访问 Admin 组。缺省和匿名用户被拒绝访问。但是该数据库 ACL 可以进行修改,以便为用户和组提供查看和解锁用户的权限。

对于每个尝试使用 Internet 名称和口令登录 Domino 的用户,有关锁定状态的信息在 Internet 锁定数据库中维护,其中包括用户名、失败尝试次数,以及锁定状态。如果用户已经注销,或者用户登录成功,则不在锁定数据库中记录锁定尝试。尽管 Internet 锁定数据库维护着锁定状态信息,但是如果您希望拥有登录失败尝试的历史记录的话,仍然应该在 Domino 域管理器 (DDM) 中维护登录失败和锁定历史信息。

对用户存储在 Internet 锁定数据库中的访问信息进行的任何更改将立即执行。无需重新启动 HTTP 服务器即可使得更改生效。

锁定数据库具有两个视图:

  • “锁定的用户”,其中包含了失败口令尝试超过阈值,现在无法使用其 Internet 名称和口令访问服务器的用户的记录。
  • “登录失败”,其中包含的用户记录显示了失败认证尝试的次数。
两个视图的域是相的:
  • 服务器名称- 用户被锁定或认证尝试失败的服务器
  • 用户名- 被锁定或者被记录了失败认证尝试的用户的名称
  • 已锁定- 在“登录失败”视图中,此值可能是“是”或“否”。在“锁定的用户”视图中,此域将设置为“是”。
  • 失败次数- 显示每个用户当前的失败认证尝试次数。在“锁定的用户”视图中,此值应该等于阈值设置。
  • 第一次失败时间- 显示第一次认证失败的日期和时间
  • 最后一次失败时间- 显示最后一次认证失败的日期和时间。此值也可能是用户被锁定的时间。如果用户被锁定之后再次尝试,此时间则不会更新。
可以通过删除记录来解锁用户。

您可以通过单击工具栏中的“标记为删除/解锁”将多个记录标记为进行解锁或删除,然后单击“删除标记的项目”将其删除。

建议您定期确认 Internet 锁定数据库中是否只包含了有效用户的记录。请删除名称已经更改或者已经作为 Domino 服务器用户被删除的用户的名称。该数据库没有自动清理功能;尽管拥有过期用户记录不会导致功能问题,但是数据库中的记录太多可能会导致 Internet 认证性能下降。

您可以为 Internet 锁定数据库创建定制表单,该表单可用于告知用户他们可能已被锁定。

复制 Internet 锁定数据库

作为管理员,您需要决定是否将 Internet 锁定数据库复制到对您有用的其他服务器中。复制数据库的一个重要优点在于,锁定信息会复制到多个服务器。您可以查看任何副本然后确定用户在多个服务器上的锁定状态,而不必在启用了 Internet 口令锁定的每个服务器上都打开 Internet 锁定数据库。

但是,复制也有其缺点,例如,如果您的网络正在遭受攻击或者发生了拒绝服务攻击,则可能发生复制风暴。另外,如果复制的速度较慢,则在复制发生之前,在某个特定服务器上检查锁定数据库的任何用户可能都无法看到某个个人已被锁定(但是他们总是可以在问题服务器上直接打开副本)。

Internet 锁定数据库是使用副本标识符创建的,对于域中启用了 Internet 口令锁定的任何服务器上的任何副本都是相同的。缺省情况下,可以为 Internet 锁定数据库临时禁用复制。这样可以防止前面所说的复制风暴。要将数据库复制到另一个服务器上,请在“复制设置”对话框的“其他”部分,禁用“临时禁用复制”选项。然后您可以设置该数据库以便进行复制(调度复制或集群复制)。

备注 将此数据库复制到其他服务器时,将为每个单独的用户计算“无效尝试次数”信息。例如,如果为“John Doe”设置的阈值为三次,并且在服务器 A 上的无效尝试次数为两次,在服务器 B 上的尝试次数为一次,则 John Doe 未在任何服务器上被锁定。这些尝试不会组合为总共三次。复制的原因是便于管理,而不是建立全局性阈值。

配置 Internet 口令锁定

Internet 口令锁定在服务器配置设置文档中启用。这就使得管理员能够为多个服务器打开 Internet 锁定功能。

备注 建议启用“服务器”文档的选项“名称变化越少,安全性越高”。这样可以将不明确名称的问题减到最少。Domino 支持使用用户名的缩写形式登录 Web 服务器(如果口令正确),即使缩写名称可能与目录中一个或多个其他人以上重复也无所谓。用户键入不明确名称时发生的不正确登录将导致每个不明确名称匹配的失败,因为没有办法分清哪个用户正在尝试登录。另外,只有当用户名和口令成功匹配时,才能使用锁定截止时间设置清除失败尝试。

启用和配置 Internet 口令锁定
1.        在 Domino Administrator 中,单击“配置”-“服务器”-“配置”。打开要为其启用 Internet 口令锁定的服务器的配置设置文档。
2.        单击"安全"。对于设置强制 Internet 口令锁定具有三个选项。

  • 是 - 服务器强制实施 Internet 口令锁定。要使得任何 Internet 口令锁定功能能够运行,必须启用此选项。
  • 否 - 服务器不强制实施 Internet 口令锁定。
  • (空白)- 如果此设置为空,则不一定非要禁用该强制选项,而可以让另一服务器配置文档(可能是适用于所有服务器的文档)来确定是否为此服务器启用 Internet 口令锁定。
备注 如果该“服务器”文档中没有强制 Internet 口令锁定,则任何其他 Internet 锁定设置(如策略文档中的设置)也将被禁用。

如果启用,则会出现下列设置:

设置 指定
日志设置 您可以选择要在控制台和 DDM 中记录的事件类型。还会记录用户名和 IP 地址。
  • 如果已启用“锁定”,则会记录用户已经锁定的事件以及用户尝试认证但已锁定的事件。缺省为启用。
  • 如果已启用“失败”,则会记录任何失败的认证尝试。日志中还会包括正在尝试认证的客户机的 IP 地址和用户名。
缺省允许的最大尝试次数 指定用户被锁定之前允许的失败口令尝试的最大次数。缺省值为 5。一旦用户被锁定,则必须首先解锁该用户,然后此设置的任何新值才能对于该用户生效。如果某个用户在其用户策略中对此设置具有不同的值,该值则会覆盖服务器配置文档中的设置。

备注 如果此值为 0,则允许无限次数的口令尝试。

缺省锁定截止时间 指定强制锁定的时间段。指定的时限之后,用户下一次尝试认证时该用户帐户将自动解除锁定。另外,所有失败尝试也将被清除。

备注 如果此值为零,锁定则不会自动过期。必须手动解锁帐户。

缺省最大尝试时间间隔 指定失败口令尝试要在锁定数据库中保留多长时间之后,才能被成功认证清除。缺省值为 24 小时。

此设置不适用于已被锁定的用户。如果用户被锁定,清除失败尝试和解锁帐户的唯一方法是在 Internet 锁定数据库中或在“锁定截止时间”到期时手动执行此操作。

备注 如果此值为 0,则对于某个尚未锁定的特定用户,每次成功登录都会清除该用户的所有失败口令尝试。



如何使用 Internet 口令锁定 - mylotustips - mylotustips的博客

Internet 口令锁定的策略设置

除了日志设置之外,前面讲述的选项还可在用户策略中指定。这在管理员仅希望对组织内的某个用户子集强制执行 Internet 口令锁定时非常有用。这种情况下,可以为该组建立这些设置。
如何使用 Internet 口令锁定 - mylotustips - mylotustips的博客





  评论这张
 
阅读(786)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017