인증 서비스는 사용자 인증이 n회 실패하면 사용자 인증을 잠그는 기능을 제공합니다. 이 기능은 기본적으로 꺼져 있지만 Access Manager 콘솔을 사용하여 활성화할 수 있습니다.
잘못된 비밀번호 예외가 발생하는 모듈만 계정 잠금 기능을 사용할 수 있습니다.
핵심 인증 서비스에는 다음을 포함하여 이 기능을 활성화/사용자 정의하는 속성이 들어 있습니다.
로그인 실패 잠금 모드. 계정 잠금을 활성화합니다.
로그인 실패 잠금 수 사용자가 잠기기 전에 인증을 시도할 수 있는 횟수를 정의합니다. 이 값은 사용자 아이디에 대해서만 적용됩니다. 동일한 사용자 아이디가 지정된 횟수만큼 실패하면 그 사용자 아이디는 잠겨집니다.
로그인 실패 잠금 간격 사용자 잠금이 적용되기 전 얼마 동안 로그인 실패 잠금 수의 값이 완료되어야 하는지 분 단위로 정의합니다.
잠금 알림을 보낼 전자 메일 주소 사용자 잠금 알림을 보낼 전자 메일 주소를 지정합니다.
N회 실패 후 사용자에게 경고. 몇 차례 인증이 실패하면 경고 메시지가 사용자에게 표시되는지 지정합니다. 관리자는 사용자에게 잠금이 임박했음을 경고한 이후의 추가 로그인 시도를 설정할 수 있습니다.
로그인 실패 잠금 기간. 잠금 후 얼마나 대기한 후 다시 인증을 시도할 수 있는지 분 단위로 정의합니다.
잠금 속성 이름. 물리적 잠금에 대해 사용자 프로필 중 어떤 LDAP 속성이 inactive로 설정될 것인지 정의합니다.
잠금 속성 값. 잠금 속성 이름에 지정된 LDAP 속성 중 어떤 속성이inactive 또는 active로 설정될 것인지 정의합니다.
계정 잠금이 발생하면 관리자에게 전자 메일 알림이 전송됩니다. (계정 잠금 활동도 기록).
Microsoft® Windows 2000 운영 체제에서의 이 기능 사용에 대한 자세한 내용은 부록 A, “AMConfig.properties File”에서 “Simple Mail Transfer Protocol(SMTP)”을 참조하십시오.
Access Manager에서는 다음 절에서 정의하는물리적 잠금과 메모리 잠금의 두 가지 계정 잠금 유형을 지원합니다.
이는 Access Manager에 대한 기본 잠금 동작입니다. 사용자 프로필의 LDAP 속성 상태를 inactive로 변경하면 이 잠금이 초기화됩니다. Lockout Attribute Name은 잠금 목적에 따라 사용되는 LDAP 속성을 정의합니다.
별칭 사용자는 LDAP 프로필에서 사용자 별칭 목록 속성(iplanet-am-user-alias-list in amUser.xml)을 구성하는 방법으로 기존의 LDAP 사용자 프로필에 매핑된 사용자입니다. 별칭 사용자는 핵심 인증 서비스의 별칭 검색 속성 이름 필드에 iplanet-am-user-alias-list를 추가함으로써 검증할 수 있습니다. 즉 별칭 사용자가 잠긴 경우 해당 사용자가 별칭 처리된 실제 LDAP 프로필도 잠기게 됩니다. 이는 LDAP 및 구성원이 아닌 인증 모듈을 사용하는 물리적 잠금에만 적용됩니다.
메모리 잠금은 Login Failure Lockout Duration 속성을 0보다 큰 값으로 변경하는 방법으로 사용할 수 있습니다. 그러면 사용자 계정은 지정된 분 수 동안 메모리에서 잠깁니다. 시간이 모두 경과한 후에는 계정의 잠금이 해제됩니다. 메모리 잠금 기능을 사용할 때는 몇 가지 사항에 특별히 주의해야 합니다.
Access Manager가 다시 시작하는 경우에는 메모리에서 잠긴 모든 계정이 잠금 해제됩니다.
사용자 계정이 메모리에서 잠겨있고 관리자가 계정 잠금 체계를 물리적 잠금으로 변경한 경우(잠금 기간을 다시 0으로 설정) 사용자 계정이 메모리에서 잠금 해제되고 잠금 수가 재설정됩니다.
메모리 잠금 후 LDAP 및 구성원을 제외한 인증 모듈을 사용할 때 사용자가 정확한 비밀번호로 로그인을 시도할 경우 사용자가 활성 상태가 아닙니다. 오류 대신이 조직에 사용자의 프로필이 없습니다. 오류가반환됩니다.
사용자 프로필에 실패 URL 속성이 설정된 경우 잠금 경고 메시지나 계정이 잠겨 있음을 나타내는 메시지가 표시되지 않고 정의된 URL로 사용자가 리디렉션됩니다.