IBM Lotus Domino Web 服务器的安全-Internet 锁定特性

Internet 密码锁定让管理员能够为 Lotus Domino 应用程序用户的 Internet 密码验证失败设置一个阈值,包括 Lotus Domino Web Access。当用户在预设置的登录次数之内登录失败时,该用户就被锁定,从而帮助防止用户的 Internet 帐户遭受暴力破解和字典***。关于验证失败和锁定的信息保存在 Internet Lockout 应用程序中,管理员可以通过该程序清除失败记录并解锁用户帐户。

不过要注意,这个特性不能对付拒绝服务(DoS)***。DoS ***是指恶意用户阻止合法用户使用服务。对于 Internet 密码锁定,***者可能会故意制造登录失败,从而阻止合法 Internet 用户登录 Lotus Domino 服务器。

Internet 密码锁定的使用有一些限制:

  • 仅能在 Web 访问中使用 Internet 密码锁定。目前还不支持其他 Internet 协议和服务,比如 LDAP、POP、IMAP、DIIOP、IBM Lotus QuickPlace? 和 IBM Lotus Sametime?。不过,如果用于身份验证的密码存储在 LDAP 服务器中,也可以在 Web 访问中使用 Internet 密码锁定。

  • 如果正在使用 DSAPI 过滤器,那么您可能不能使用 Internet 锁定特性,因为 DSAPI 过滤器能够绕过 Lotus Notes? 和 Domino 身份验证。

  • 对于单点登录(SSO),启用 Internet 密码锁定特性的 Lotus Domino 服务器必须是发出单点登录密匙的服务器。如果需要从另一个地方获取密匙(比如另一个 Lotus Domino 服务器或 IBM WebSphere? 服务器),SSO 令牌通常仅在 Lotus Domino 服务器上有效,即使启用了 Internet 密码锁定。

配置 Internet 锁定

Lotus Domino 服务器并没有默认启用 Internet 锁定。在这个小节中,我们介绍在 Lotus Domino 服务器上启用 Internet 锁定的步骤。

要通过配置设置启用 Internet Internet 锁定,请遵循以下步骤:

1. 打开 Lotus Notes 客户端上的 Lotus Domino Directory。

2. 单击 Configuration - Servers - Configuration。

3. 编辑默认的服务器配置文档或个人的服务器配置文档。

4. 单击 security 选项卡。

o 将选项 Enforce Internet password lockout 更改为 yes。

o 设置日志。在日志中记录锁定和失败。

o 设置默认的最大尝试次数。

指定在锁定用户之前,他们可以尝试密码的最大次数。默认值为 5。当用户被锁定之后,在对该用户的设置使用新值之前必须先解锁用户的帐户。  
如果用户在其策略中对该设置使用不同的值,该值将覆盖在服务器配置文档中设置的值。

5. 设置默认的锁定过期期限。  
指定锁定实施的时间长度。在超过指定时间之后,锁定就会过期。用户在下一次尝试登录的时候其帐户会自动解锁。此外,还清除了所有尝试失败。    
注意:如果这个设置的值为 0,锁定就不会自动过期,因此必须手动解除锁定。

6. 设置默认的最大尝试时间间隔。  
指定在成功的验证清除失败的密码尝试之前,失败的密码尝试保存在锁定数据库的时间长度。默认值为 24 小时。    
这个设置不适用于被锁定的用户。如果用户被锁定之后,清除失败尝试和解锁帐户的惟一方法就是在 Internet Lockout 数据库中手动解除,或者等待锁定过期。    
注意:如果这个值设置为 0,没有被锁定的用户只要成功登录一次,就会清除该用户的所有失败密码尝试。

clip_p_w_picpath002

1. 保存并关闭。

2. 重启 Lotus Domino 服务器。

还可以使用安全策略配置 Internet 锁定。如果使用这种方法,管理员仅能够对一部分用户实施 Internet 锁定。注意,安全策略能够覆盖服务器的 Internet 锁定设置。

要通过安全策略启用 Internet 锁定,请遵循以下步骤:

1. 打开 Lotus Domino Directory。

2. 单击 Configuration - Policies - Settings。

3. 打开安全策略。如果不存在,则创建一个新的安全策略。

4. 单击 Password Management 选项卡,并输入图 2 中显示的值:

o 将选项 Override Server's Internet Lockout settings? 设置为 yes。

o 将选项 Maximum Tries Allowed 设置为 5。

o 将选项 Lockout Expiration 设置为 60 分钟。

o 将选项 Maximum Tries Interval 设置为 1 天。

o 将所有设置设置为 Enforce。

clip_p_w_picpath004

安全设置配置完毕之后,就可以将其应用到策略中,然后可以在个体用户或组织单位中应用该策略

inetlockout.nsf 数据库还允许管理员跟踪哪个用户被锁定了。管理员还有权解锁用户。图 4 展示了 Internet 锁定数据库中的信息。这个数据库还能记录所有用户登录失败事件。当安全管理员检测密码盗取尝试时,这个功能非常有用。

clip_p_w_picpath006

比如我们先通过两个用户来做测试;通过web邮箱测试,发现zhangsann用户输入5次密码错验证失败及被锁定

clip_p_w_picpath008

如果需要张三重新登录的话,需要将zhangsan用户从被锁定的用户数据库内删除,才能重新登录(重新设置密码也不会生效除非从被锁定的状态删除)