この手順を使用して、特定の数のログイン試行に失敗したあとに通常ユーザーアカウントをロックします。
始める前に
管理アクティビティーで使用されるシステムでは、この保護をシステム全体に設定しないでください。むしろ、管理システムに異常な使用状況がないかどうかをモニターし、管理者が常に管理システムを使用できるようにしてください。
root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
属性値のスコープを選択します。
この保護は、システムを使用しようとするすべてのユーザーに適用されます。
# pfedit /etc/security/policy.conf ... #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES ...
この保護は、このコマンドの実行対象のユーザーに対してのみ適用されます。ユーザー数が多い場合、これはスケーラブルな解決方法ではありません。
# usermod -K lock_after_retries=yes username
この保護は、この権利プロファイルを割り当てるすべてのユーザーまたはシステムに適用されます。
# profiles -p shared-profile -S ldap shared-profile: set lock_after_retries=yes ...
権利プロファイルの作成の詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 権利プロファイルと承認の作成を参照してください。
権利プロファイルを共有するユーザーの数が多い場合は、権利プロファイルにこの値を設定することがスケーラブルな解決方法になります。
# usermod -P shared-profile username
また、policy.conf ファイルでシステムごとにプロファイルを割り当てることもできます。
# pfedit /etc/security/policy.conf ... #PROFS_GRANTED=Basic Solaris User PROFS_GRANTED=shared-profile,Basic Solaris User
属性値のスコープを選択します。
# pfedit /etc/default/login ... #RETRIES=5 RETRIES=3 ...
# usermod -K lock_after_retries=3 username
Step 1 の「権利プロファイルを作成して割り当てます」オプションに従って、lock_after_retries=3 を含む権利プロファイルを作成します。
# passwd -u username
ロックされたユーザーは、管理者の操作なしではログインできません。files と ldap の両方のネームサービスでユーザーアカウントをロック解除できます。
関連項目
ユーザーおよび役割のセキュリティー属性については、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 第 8 章, Oracle Solaris 権利リファレンスを参照してください。
選択したマニュアルページには、passwd(1)、policy.conf(4)、profiles(1)、user_attr(4)、および usermod(1M) が含まれています。