認證服務提供一項功能,於其中使用者將在 n 次失敗後被鎖定,無法認證。這項功能預設為關閉,但可以使用 Access Manager 主控台啟用。
只有拋出有效密碼異常的模組可以充分利用帳號鎖定功能。
核心認證服務包含啟用和自訂此功能的屬性,包括但不限於:
會啟用帳號鎖定的登入失敗鎖定模式。
登入失敗鎖定計數 定義使用者被鎖定前可嘗試認證的次數。此計數只對每個使用者有效;相同的使用者在賦予計數時必需失效,而後該使用者會被鎖定。
登入失敗鎖定間隔定義使用者被鎖定前,必須完成的登入失敗鎖定計數值之時間數 (以分鐘計)。
傳送鎖定通知的電子郵件位址指定使用者鎖定通知將被傳送的電子郵件位址。
N 次失敗後警告使用者指定對使用者顯示警告訊息前,可發生的認證失敗次數。這可讓管理員設定在使用者被警告即將被鎖定後,額外的登入嘗試次數。
登入失敗鎖定持續時間定義鎖定使用者後,再次嘗試認證前必須等待的時間 (以分鐘為單位)。
鎖定屬性名稱定義使用者設定檔中要設定為對實際鎖定無效的 LDAP 屬性。
鎖定屬性值定義鎖定屬性名稱中指定的 LDAP 屬性將設定為:非作用中或作用中。
電子郵件通知將被傳送到與任何帳號鎖定有關的管理員。帳號鎖定活動也會被記錄。
當於 Microsoft® Windows 2000 作業系統上使用此功能,如需特殊指示時,請參閱「附錄 A,AMConfig.properties 檔案」中的「簡易郵件傳輸協定 (SMTP)」。
Access Manager 支援兩種帳號鎖定類型:實體鎖定與記憶體鎖定,定義於下列章節中。
這是 Access Manager 的預設鎖定行為。藉由變更使用者設定檔中的 LDAP 屬性為非作用中,啟動鎖定。鎖定屬性名稱屬性定義用於鎖定作用的 LDAP 屬性。
以別名為名稱的使用者是藉由配置 LDAP 設定檔中使用者別名清單屬性 (amUser.xml 中的 iplanet-am-user-alias-list) ,以對映至現有 LDAP 使用者設定檔的使用者。藉由新增 iplanet-am-user-alias-list 至 核心認證服務之 [別名搜尋屬性名稱] 欄位,可驗證以別名為名稱的使用者。也就是說,如果一個別名使用者被鎖定,被別名化的使用者其實際設定檔將被鎖定。這只適用於使用 LDAP 和 Membership 之外的認證模組的實體鎖定。
將登入失敗鎖定持續時間屬性的值變更為大於零,可啟用記憶體鎖定。啟用後,使用者帳號會被鎖定在記憶體中一段指定的時間 (以分鐘計)。經過該段時間後,將解除鎖定帳號。以下是使用記憶體鎖定功能時,一些特殊的考量:
若重新啟動了 Access Manager,所有鎖定於記憶體中的帳號都會被解除。
若使用者的帳號被鎖定在記憶體中,而管理員將帳號鎖定機制變更為實際鎖定 (以將鎖定持續時間設回零的方式進行),則使用者帳號將在記憶體中被解除鎖定,鎖定計數也會重設。
記憶體鎖定後,當使用 LDAP 與成員身份之外的認證模組時,若使用者嘗試以正確的密碼登入,則將傳回使用者於此範圍中並無設定檔訊息。錯誤,會傳回,而不是傳回使用者非作用中。錯誤。
如果在使用者設定檔中設定了 Failure URL 屬性,則鎖定警告訊息和指出使用者帳號已遭鎖定的訊息都不會顯示,系統會將使用者重新導向至定義的 URL。