セキュリティ レルム : ユーザのロックアウト
パスワード推測攻撃は、一般的なセキュリティ攻撃です。これは、ハッカーが さまざまなユーザ名とパスワードの組み合わせを使用してコンピュータにログイン しようとする攻撃です。WebLogic Server には、ユーザ アカウントを侵入者から 保護するための属性セットが用意されています。このページでは、このセキュリティ レルムでのユーザ ロックアウトの処理方法を定義します。
WebLogic Server には、ユーザ アカウントを侵入者から保護 するための属性セットが用意されています。デフォルトでは、これらの属性 は最高の保護レベルに設定されています。システム管理者は、すべての 属性を無効にしたり、ユーザ アカウントがロックされるまでのログイン試行 回数を増やしたり、ユーザ アカウントがロックされるまでの無効なログイン 試行の期間を延ばしたり、ユーザ アカウントのロック時間を変更したり できます。このページの属性を変更すると、セキュリティ レベルが低下して ユーザ アカウントが攻撃を受けやすくなることに注意して ください。
クラスタの 1 つのノードでユーザ ロックアウトのセキュリティ イベントが発生すると、 クラスタ内の他のノードにそのイベントが通知され、クラスタ内のすべてのノードでその ユーザ アカウントがロックされます。この機能により、ハッカーはクラスタ内のどのノード にも侵入できなくなります。
注意 : ユーザのロックアウトに関する属性は、セキュリティ レルムとそのすべての セキュリティ プロバイダに適用されます。独自のメカニズムを備えた認証プロバイダを 使用してユーザ アカウントを保護する場合は、[ロックアウト有効化] 属性を無効に してください。
ユーザ アカウントがロックされたためそのユーザ アカウントを削除して、同じ名前と パスワードを持つ別のユーザ アカウントを追加しても、[ユーザのロックアウト] 属性は リセットされません。
コンフィグレーション オプション
名前 説明 ロックアウトを有効化 無効なログインが試行されたアカウントのユーザをロックアウトするか どうかを指定します。
ロックアウトしきい値 ユーザのアカウントがロックアウトされるまでの無効なログインの 最大連続試行回数。
この回数を超えてログインを試みると、(ユーザ名とパスワードの組み合わせが 正しい場合でも) セキュリティ例外が発生して、アカウントがロックされます。システム 管理者が明示的にロックを解除するか、ロックアウト期間が経過した後でもう一度 ログインが試行されるまで、アカウントはロックされたままになります。ただし、これは 無効なログインが [ロックアウト リセット期間] 属性で定義された時間内に 繰り返された場合に限ります。
ロックアウト期間 ユーザのアカウントがロックアウトされる時間 (分)。
ロックアウト リセット期間 ここで指定した時間内に、無効なログイン試行が連続で繰り返されると、 ユーザのアカウントがロックアウトされます。
無効なログイン試行が、この属性で定義された時間内に、 [ロックアウトしきい値] 属性で定義された回数連続で 繰り返されると、アカウントがロックされます。たとえば、 [ロックアウト リセット期間] 属性の値が 5 分、 [ロックアウトしきい値] 属性の値が 3 の場合、無効な ログイン試行が 6 分間に 3 回行われてもアカウントはロック されませんが、5 分間に 3 回行われるとアカウントはロックされ ます。
ロックアウト キャッシュ サイズ キャッシュに保存される無効なログイン レコードの数 (0 - 99999)。
ロックアウト GC しきい値 サーバのメモリに保存される無効なログイン レコードの 最大数。
無効ログイン レコードの数がこの属性の値と同じかそれを超過すると、 期限切れとなったレコードがサーバのガベージ コレクションによってパージ されます。レコードが期限切れになるのは、ユーザがロック解除された とき、またはレコードのロックアウト リセット期間が経過したとき です。