管理コンソール・オンライン・ヘルプ

セキュリティ・レルム: ユーザーのロックアウト

構成オプション     関連タスク     関連トピック

パスワード推測攻撃は、よくあるタイプのセキュリティ攻撃です。これは、ハッカーが様々なユーザー名とパスワードの組合せを使用してコンピュータにログインしようとする攻撃です。WebLogic Serverには、ユーザー・アカウントを侵入者から保護するための属性セットが用意されています。このページでは、このセキュリティ・レルムでのユーザー・ロックアウトの処理方法を定義します。

WebLogic Serverには、ユーザー・アカウントを侵入者から保護するための属性セットが用意されています。デフォルトでは、これらの属性は最高の保護レベルに設定されています。システム管理者は、すべての属性を無効にしたり、ユーザー・アカウントがロックされるまでのログイン試行回数を増やしたり、ユーザー・アカウントがロックされるまでの無効なログイン試行の期間を延ばしたり、ユーザー・アカウントのロック時間を変更したりできます。このページの属性を変更すると、セキュリティ・レベルが低下してユーザー・アカウントが攻撃を受けやすくなることに注意してください。

クラスタの1つのノードでユーザー・ロックアウトのセキュリティ・イベントが発生すると、クラスタ内の他のノードにそのイベントが通知され、クラスタ内のすべてのノードでそのユーザー・アカウントがロックされます。この機能により、ハッカーはクラスタ内のどのノードにも侵入できなくなります。

ノート: ユーザーのロックアウトに関する属性は、セキュリティ・レルムとそのすべてのセキュリティ・プロバイダに適用されます。独自のメカニズムを備えた認証プロバイダを使用してユーザー・アカウントを保護する場合は、「ロックアウトの有効化」属性を無効にしてください。

ユーザー・アカウントがロックされたためそのユーザー・アカウントを削除して、同じ名前とパスワードを持つ別のユーザー・アカウントを追加しても、「ユーザーのロックアウト」属性はリセットされません。

構成オプション

名前	説明
ロックアウトの有効化	無効なログインが試行されたアカウントのユーザーをロックアウトするかどうかを指定します。 MBean属性: UserLockoutManagerMBean.LockoutEnabled 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
ロックアウトしきい値	ユーザーのアカウントがロックアウトされるまでの無効なログインの最大連続試行回数。 この回数を超えてログインを試みると、(ユーザー名とパスワードの組合せが正しい場合でも)セキュリティ例外が発生して、アカウントがロックされます。システム管理者が明示的にロックを解除するか、ロックアウト期間が経過した後でもう一度ログインが試行されるまで、アカウントはロックされたままになります。ただし、これは無効なログインが「ロックアウト・リセット期間」属性で定義された時間内に繰り返された場合にかぎります。 MBean属性: UserLockoutManagerMBean.LockoutThreshold 最小値: 1 最大値: 2147483647 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
ロックアウト期間	ユーザーのアカウントがロックアウトされる時間(分)。 MBean属性: UserLockoutManagerMBean.LockoutDuration 最小値: 0 最大値: 2147483647 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
ロックアウト・リセット期間	ここで指定した時間内に、無効なログイン試行が連続で繰り返されると、ユーザーのアカウントがロックアウトされます。 無効なログイン試行が、この属性で定義された時間内に、「ロックアウトしきい値」属性で定義された回数連続で繰り返されると、アカウントがロックされます。たとえば、「ロックアウト・リセット期間」属性の値が5分で「ロックアウトしきい値」が3の場合に6分以内の間隔で3回無効なログインが試行されると、アカウントがロックされます。5分間に3回行われるとアカウントはロックされます。 MBean属性: UserLockoutManagerMBean.LockoutResetDuration 最小値: 1 最大値: 2147483647 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
ロックアウト・キャッシュ・サイズ	サーバーがキャッシュ内に保存できる無効なログイン・レコードの最大数。 WebLogic Serverでは、ユーザーのロックアウト・キャッシュのサイズに指定するレコードの数に特別な制限はありませんが、0から99999までの値を指定することをお薦めします。 MBean属性: UserLockoutManagerMBean.LockoutCacheSize 最小値: 0 最大値: 2147483647 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。
ロックアウトGCしきい値	サーバーのメモリーに保存される無効なログイン・レコードの最大数。 無効ログイン・レコードの数がこの属性の値と同じかそれを超過すると、期限切れとなったレコードがサーバーのガベージ・コレクションによってパージされます。レコードが期限切れになるのは、ユーザーがロック解除されたとき、またはレコードのロックアウト・リセット期間が経過したときです。 MBean属性: UserLockoutManagerMBean.LockoutGCThreshold 最小値: 0 最大値: 2147483647 変更は、モジュールの再デプロイ後またはサーバーの再起動後に有効になります。

関連タスク

• ユーザー・ロックアウト属性の設定
• ユーザー・アカウントのロック解除

関連トピック

• Oracle WebLogic Serverのセキュリティの理解
• ユーザー・アカウントの保護