保護
このタスクについて
典型的なパスワード攻撃の例は次のとおりです。
xACL を使用してインターネットパスワードを保護する
インターネットパスワードを保護する方法としては、拡張 ACL (xACL) を使用して、フォームレベルとフィールドレベルで名前階層内のレベルに基づいてアクセス権を制御する方法があります。Domino ディレクトリに保存されたパスワードの場合、管理者は xACL を設定して、インターネットパスワードへのアクセスを限定できます。ユーザーには自分自身のパスワードへのアクセスを許可し、管理者にはシステム管理上のパスワード変更を許可できます。
手順
1. まず、Domino ディレクトリへの拡張アクセスを有効にします。
b. データベース ACL で [管理者] のアクセス権が設定されていることを確認します。
c. [詳細] をクリックし、[拡張アクセスを有効] を選択します。
d. 次のメッセージが表示されたら [はい] をクリックして続行します:「拡張アクセスを有効にすると追加のセキュリティチェックが実行されます。詳しくは IBM Domino Administrator ヘルプを参照してください。続行しますか?」
e. データベース ACL の詳細オプション [このデータベースのレプリカはすべて共通のアクセス制御リストを用いる] がまだ選択されていない場合は、次のプロンプトが表示されます。「共通のアクセス制御をまず有効にする必要があります。すぐに有効にしますか?」 [はい] をクリックします。
f. 「複数の管理者がデータベースで拡張アクセスを管理するときは、競合を避けるために文書のロックを有効にしてください。」のプロンプトで、[OK] をクリックします。
g. [アクセス制御リスト] ダイアログボックスで [OK] をクリックします。
h. 「拡張アクセス制限を有効にしています。しばらく時間がかかります。」 というメッセージが表示されたら [OK] をクリックします。
b. [拡張アクセス] をクリックします。[拡張アクセス] ダイアログボックスが表示されます。
c. [対象] ペインで、[/] (ルート) を選択して [追加] をクリックします。
d. アクセスリストペインで、[Default] を選択します。
e. [フォームとフィールドのアクセス権] をクリックします。[フォームとフィールドのアクセス権] ダイアログボックスが表示されます。
f. [フォーム] リストボックスで [Person] を選択します。フォームのアクセス権を空白にします。
g. [フィールド] リストボックスで、次の手順を実行します。
h. [OK] をクリックします。
i. [Person] で、[HttpPassword] と [dspHttpPassword] (表示されている場合) に対してこの操作を繰り返します。
注: Domino ディレクトリに対して xACL を有効にすると、LDAP 匿名アクセスはすべてのサーバー設定文書のフィールドのリストで制御されなくなります。デフォルトの xACL 設定では [Anonymous] が [なし] のアクセス権であるため、xACL が有効になると匿名 LDAP 検索はすべて失敗します。
インターネットパスワードを入力してユーザー文書を保存すると、[インターネットパスワード] フィールドは自動的に一方向ハッシュ化されます。デフォルトのパスワードを改善するには、より安全な形式のパスワードを使用します。既存のユーザー文書のパスワード形式をアップグレードすることも、作成するすべてのユーザー文書でより安全な形式のパスワードを自動的に使用するようにすることもできます。
既存のユーザー文書の場合
1. Domino Administrator で、[ユーザーとグループ] をクリックし、より安全な形式のパスワードにアップグレードするユーザー文書を選択します。
2. [アクション] -> [強固なパスワード形式への変更] を選択します。
3. Domino ドメインのすべてのサーバーでリリース 8.0.1 以降が実行されている場合、[[はい] - パスワード確認は IBM Notes/Domino リリース 8.0.1 以降と互換です] を選択します。それ以外の場合は、[[はい] - パスワード確認は IBM Notes/Domino リリース 4.6 以降と互換です] を選択します。
新規ユーザー文書の場合
1. IBM Domino Administrator で、[設定] をクリックし、[すべてのサーバー文書] を選択します。
2. [アクション] -> [ディレクトリプロフィールの編集] を選択します。
4. 文書を保存して閉じます。
ヒント: 悪意のある攻撃者がパスワードを推測できないようにするもう 1 つの方法は、単純にパスワードをより推測しにくくすることです。この場合、パスワードを長くて複雑なものにする、さまざまな文字を使用する、実際にある単語を使用しない、などの方法があります。
インターネットパスワードのロックアウトを使用すると、管理者は、IBM Domino Web ユーザーや IBM Domino Web Access ユーザーがインターネットパスワードによる認証で失敗可能なしきい値を設定できます。これにより、設定された試行回数以内でログインできなかったユーザーがロックアウトされるため、ユーザーのインターネットアカウントに対する総当たり攻撃や辞書攻撃を防ぐことができます。認証の失敗とロックアウトに関する情報は、インターネットロックアウトアプリケーションで管理されます。管理者は、このアプリケーションで失敗をクリアしたり、ユーザーアカウントをロック解除できます。
この機能は、サービス不能 (DoS) 攻撃を受けやすいことに注意する必要があります。DoS 攻撃とは、悪意のあるユーザーが、正当なユーザーによるサービスの利用を故意に妨げる攻撃のことです。インターネットパスワードのロックアウトの場合、攻撃者が意図的にログインを失敗することにより、正当なインターネットユーザーが Domino サーバーにログインできなくなる可能性があります。
注: インターネットパスワードのロックアウトは、Domino Off-Line Services (DOLS) には影響しません。
インターネットパスワードのロックアウトには、次のような制限事項があります。
インターネットロックアウトデータベース
インターネットロックアウトデータベース (inetlockout.ntf) は次のような場合に inetlockout.ntf から作成されます。
Web ユーザーとして Domino にログインするユーザーについては、ユーザー名、認証の失敗回数、ロックアウトステータスなどのロックアウトの状態に関する情報は、インターネットロックアウトデータベースで管理されます。ユーザーがすでにロックアウトされているとき、またはログインに成功したときは、ロックアウトの試行はロックアウトデータベースに記録されません。ただし、インターネットロックアウトデータベースがロックアウト状態の情報を保持しているときにログイン失敗の履歴を記録する場合は、ログインの失敗とロックアウトの履歴情報を格納する場所を Domino ドメインモニター (DDM) とする必要があります。
インターネットロックアウトデータベースに保存されているユーザーのアクセス情報に対して変更が行われると、その変更はただちに反映されます。変更を有効にするために HTTP サーバーを再起動する必要はありません。
ロックアウトデータベースには、次の 2 つのビューがあります。
ツールバーで [Mark for Delete/Unlock] をクリックすると、ロックを解除するレコードまたは削除するレコードを複数選択できます。[Delete Marked Items] をクリックすると、選択したレコードを削除できます。
インターネットロックアウトデータベースに記録されているのが有効なユーザーのみであることを、定期的に確認することをお勧めします。名前が変更になったユーザーの名前、または Domino サーバーのユーザーではなくなったユーザーの名前を削除します。このデータベースは自動でクリーンアップされません。無効となったユーザーのレコードが残っていても機能的に問題はありませんが、データベースにレコードが多すぎると、インターネット認証のパフォーマンスが低下する可能性があります。
インターネットロックアウトデータベースには、ロックアウトをユーザーに通知するためのカスタムログインフォームを作成できます。
インターネットロックアウトデータベースを複製する
管理者は、インターネットロックアウトデータベースを他のサーバーに複製することが有用かどうかを判断する必要があります。データベースを複製する主な利点として、ロックアウト情報が複数のサーバーに複製されることを挙げることができます。任意の複製を開き、複数のサーバー上のユーザーのロックアウトステータスを確認できます。インターネットパスワードのロックアウトが有効なサーバーで、インターネットロックアウトデータベースを開く必要はありません。
ただし、複製にも欠点があります。たとえば、ネットワークが攻撃されたり、サービス不能攻撃を受けると、複製が過剰に発生することがあります。また、複製の実行が遅れると、特定のサーバー上でロックアウトデータベースを確認している管理者は、複製が行われるまで、ユーザーがロックアウトされていることを確認できない場合があります (ただし、確認しているサーバーのレプリカは直接はいつでも開くことができます)。
インターネットロックアウトデータベースは、ドメイン内のインターネットパスワードのロックアウトが有効なサーバーのレプリカではすべて同一のレプリカ ID で作成されます。デフォルトでは、インターネットロックアウトデータベースは一時的に複製が無効にされています。これは、前述の複製の過剰な発生を防ぐためです。データベースを他のサーバーに複製するには、[複製の設定] ダイアログボックスの [その他] セクションで [複製を許可しない] オプションを無効にします。その後、データベースを複製するように設定します (スケジュール複製またはクラスタ複製)。
注: このデータベースを他のサーバーに複製するときに、個々のサーバーで「無効な試行」情報が計算されます。たとえば、「John Doe」のしきい値が 3 に設定されている場合に、サーバー A で 2 回、サーバー B で 1 回の無効な試行が行われた場合、John Doe はどちらのサーバーでもロックアウトされません。試行は合計 3 回にはまとめられません。複製の目的は管理を容易にすることであり、グローバルしきい値を設定するためではありません。
インターネットパスワードのロックアウトを設定する
インターネットパスワードのロックアウトはサーバー設定文書で有効にします。これにより、管理者は複数のサーバーでインターネットロックアウト機能を有効にできます。
サーバー文書のオプション [強いセキュリティで少ない名前のバリエーション] を有効にすることをお勧めします。これにより、あいまいな名前による問題が最小限に抑えられます。Domino では、ディレクトリ内に同じ短縮名が複数ある場合でも、パスワードが正しければ短縮名で Web サーバーへログインできます。ユーザーがあいまいな名前を入力して誤ってログインした場合、ログインしようとしたユーザーを特定できないため、あいまい一致は失敗します。また、ロックアウトの有効期限設定による認証失敗のクリアは、ユーザー名とパスワードの一致が成功したユーザーに対してのみ行われます。
1. Domino Administrator で、[設定] -> [サーバー] -> [設定] をクリックします。インターネットパスワードのロックアウトを有効にするサーバーのサーバー設定文書を開きます。
2. [セキュリティ] をクリックします。[インターネットパスワードを強制的にロックアウト] 設定には、次の 3 つのオプションがあります。
注: インターネットパスワードのロックアウトがサーバー設定文書で有効でない場合、ポリシー文書の設定など、他のインターネットロックアウトの設定は無効になります。
ユーザーポリシーに異なる値の設定がある場合は、その値がサーバー設定文書に設定された値より優先されます。
注: この値が 0 の場合、パスワードの試行は無制限です。
注: この値が 0 の場合、ロックアウトは自動で期限切れになりません。アカウントは手動でロック解除する必要があります。
ロックアウトされたユーザーには適用されません。ユーザーがロックアウトされた場合、認証の失敗をクリアしてアカウントのロックを解除するには、インターネットロックアウトデータベースで手動でこの操作を行うか、ロックアウトの期限が切れる必要があります。
注: この値が 0 の場合、ロックアウトされていないユーザーがログインに成功するたびに、そのユーザーの不正なパスワードの入力がクリアされます。
注: ログの設定を除いて、前述のオプションはユーザーポリシーでも指定できます。組織の一部のユーザーに対してのみインターネットパスワードのロックアウトを使用する場合は、この設定が有用です。この場合は、該当するグループにこの設定を適用できます。
関連タスク Web サーバーのメッセージをカスタマイズする セキュリティポリシー設定文書を作成する