認證服務提供一項功能,在認證失敗次數超過某個特定值後將封鎖使用者。這項功能預設為關閉,但可以使用 Access Manager 主控台啟用。
只有拋出 [密碼無效] 異常的模組可以利用帳號封鎖功能。
核心認證服務包含用於啟用和自訂此功能的屬性,包括但不限於:
會啟用帳號封鎖的登入失敗封鎖模式。
登入失敗封鎖計數定義使用者被封鎖前可嘗試認證的次數。此計數僅對單個使用者 ID 有效;只有同一個使用者 ID 失敗次數達到指定的次數後才會被封鎖。
登入失敗封鎖間隔定義使用者被封鎖前,必須完成登入失敗封鎖計數值的時間 (以分鐘計)。
發送封鎖通知的電子郵件位址指定使用者封鎖通知將發送到的電子郵件位址。
N 次失敗後警告使用者指定對使用者顯示警告訊息前,可發生的認證失敗次數。這允許管理員在使用者得到即將封鎖的警告之後設定附加的登入嘗試次數。
登入失敗封鎖持續時間定義封鎖使用者後,再次嘗試認證前必須等待的時間 (以分鐘計)。
封鎖屬性名稱定義使用者設定檔中要針對實體封鎖的 LDAP 屬性設定為「非使用中」。
封鎖屬性值定義封鎖屬性名稱中指定的 LDAP 屬性將設定為:非使用中或使用中。
有關任何帳號封鎖的電子郵件通知都會發送給管理員。帳號封鎖活動也會被記錄。
有關在 Microsoft® Windows 2000 作業系統上使用此功能的特殊說明,請參閱附錄 A「AMConfig.properties 檔案」中的「簡易郵件傳輸協定 (SMTP)」。
Access Manager 支援兩種帳號封鎖類型:實體封鎖與記憶體封鎖,定義於下列章節中。
這是 Access Manager 的預設封鎖運作方式。藉由變更使用者設定檔中的 LDAP 屬性為非使用中,啟動封鎖。封鎖屬性名稱屬性定義用於封鎖的 LDAP 屬性。
以別名為名稱的使用者是藉由配置 LDAP 設定檔中使用者別名清單屬性 (amUser.xml 中的 iplanet-am-user-alias-list) ,以對映至現有 LDAP 使用者設定檔的使用者。藉由增加 iplanet-am-user-alias-list 至核心認證服務之 [別名搜尋屬性名稱] 欄位,可驗證以別名為名稱的使用者。也就是說,如果一個別名使用者被封鎖,其對映至的實際 LDAP 設定檔也將被封鎖。這只適用於使用 LDAP 和成員身份之外的認證模組的實體封鎖。
將登入失敗封鎖持續時間屬性的值變更為大於零,可啟用記憶體封鎖。啟用後,使用者帳號會依指定分鐘數封鎖於記憶體中。經過該段時間後,將解除封鎖帳號。以下是使用記憶體封鎖功能時,一些特殊的考量:
若重新啟動了 Access Manager,所有封鎖於記憶體中的帳號都會解除封鎖。
若使用者的帳號被封鎖在記憶體中,而管理員將帳號封鎖機制變更為實體封鎖 (藉由將封鎖持續時間設回零),則使用者帳號將在記憶體中被解除封鎖,封鎖計數也會重設。
記憶體封鎖後,當使用 LDAP 與成員身份之外的認證模組時,若使用者嘗試以正確的密碼登入,則將傳回 [使用者於此範圍中並無設定檔] 錯誤,而不是傳回 [使用者不在使用中] 錯誤。
如果在使用者設定檔中設定了失敗的 URL 屬性,則封鎖警告訊息和指出使用者帳號已遭封鎖的訊息都不會顯示,系統會將使用者重新導向至定義的 URL。