• 攻撃の一種に、IBM(R) Lotus Domino(R) ディレクトリ内のハッシュ化されたパスワードをすべて読み取ろうとする攻撃があります。ユーザーのインターネットパスワードは、Domino ディレクトリのユーザー文書にハッシュ化されて保存されています。Domino ディレクトリには、システムのすべてのユーザーがアクセスできます。xACL を使用すると、ハッシュ化されたパスワードへのアクセスをブロックし、このような攻撃からパスワードを保護することができます。
• 別のタイプの攻撃として、認証時のパスワードを推測する攻撃があります。このタイプの攻撃では、別の誰かになりすまして認証を試み、パスワードを推測します。このような攻撃は、より安全な形式のパスワードや推測しにくいパスワードを使用したり、サーバーでインターネットパスワードのロックアウト機能を有効にすることによって防ぎます。

• xACL
• より安全な形式のパスワード
• インターネットパスワードのロックアウト

まず、Domino ディレクトリへの拡張アクセスを有効にします。

1 データベースを開き、[ファイル] - [アプリケーション] - [アクセス制御] を選択します。

2 データベース ACL で [管理者] のアクセス権が設定されていることを確認します。

3 [詳細] をクリックし、[拡張アクセスを有効] を選択します。

4 次のメッセージが表示されたら、[はい] をクリックして続行します。

「拡張アクセスを有効にすると追加のセキュリティチェックが実行されます。詳しくは Lotus Domino Administrator ヘルプを参照してください。続行しますか?」

「まず共通のアクセス制御を有効にする必要があります。すぐに有効にしますか?」

「複数の管理者がデータベースで拡張アクセスを管理するときは、競合を避けるために文書のロックを有効にしてください。」

8 次のメッセージが表示されたら、[OK] をクリックします。

「拡張アクセス制限を有効にしています。しばらく時間がかかります。」

9 データベースを開き、[ファイル] - [アプリケーション] - [アクセス制御] を選択します。

10 [拡張アクセス] をクリックします。[拡張アクセス] ダイアログボックスが表示されます。

11 [対象] ペインで、[/] (ルート) を選択して [追加] をクリックします。

12 アクセスリストペインで、[Default] を選択します。

13 [フォームとフィールドのアクセス権] をクリックします。[フォームとフィールドのアクセス権] ダイアログボックスが表示されます。

14 [フォーム] リストボックスで [Person] を選択します。フォームのアクセス権を空白にします。

15 [フィールド] リストボックスで、次の手順を実行します。

1. [HttpPassword] を選択して、[読み込み] および [書き込み] アクセス権を [禁止] に設定します。
2. [dspHttpPassword] が表示されている場合はこれを選択し、[読み込み] および [書き込み] アクセス権を [禁止] に設定します。

17 次のアクセスリストのエントリの [Person] で、[HttpPassword] と [dspHttpPassword] (表示されている場合) に対してこの操作を繰り返します。

アクセスリストエントリ	読み取りアクセス権	書き込みアクセス権
Self	許可	許可
[Local administrators group]	許可	許可
[Local servers group]	許可	許可

メモ [Anonymous] アクセスがアクセスリストに設定されていた場合、[Person] フォームの [HTTPPassword] と [dspHTTPPassword] (表示されている場合) で読み取りアクセス権と書き込みアクセス権を禁止に設定する必要があります。

メモ Domino ディレクトリに対して xACL を有効にすると、LDAP 匿名アクセスはすべてのサーバー設定文書のフィールドのリストで制御されなくなります。デフォルトの xACL 設定では [Anonymous] が [なし] のアクセス権であるため、xACL が有効になると匿名 LDAP 検索はすべて失敗します。

より安全な形式のパスワードを使用するインターネットパスワードを入力してユーザー文書を保存すると、[インターネットパスワード] フィールドは自動的に一方向暗号化されます。デフォルトのパスワードを改善するには、より安全な形式のパスワードを使用します。
既存のユーザー文書のパスワード形式をアップグレードすることもできますし、作成するすべてのユーザー文書でより安全な形式のパスワードを自動的に使用するようにすることもできます。

既存のユーザー文書の場合 1 Lotus Domino Administrator で、[ユーザーとグループ] をクリックし、より安全な形式のパスワードにアップグレードするユーザー文書を選択します。
2 [アクション] - [強固なパスワード形式への変更] を選択します。

3 [はい] をクリックします。

新規ユーザー文書の場合 1 Lotus Domino Administrator で、[設定] をクリックし、[すべてのサーバー文書] を選択します。
2 [アクション] - [ディレクトリプロフィールの編集] を選択します。

3 [より安全なインターネットパスワードの使用] フィールドで、[はい] を選択します。

4 文書を保存し、閉じます。

メモ ユーザーのインターネットパスワードを Lotus Notes パスワードと同期する場合は、より安全なパスワード形式が必要です。

悪意のある攻撃者がパスワードを推測できないようにするもう 1 つの方法は、単純にパスワードをより推測しにくくすることです。この場合、パスワードを長くて複雑なものにする、さまざまな文字を使用する、実際にある単語を使用しない、などの方法があります。

インターネットパスワードのロックアウトを使用するインターネットパスワードのロックアウトを使用すると、管理者は、Lotus Domino Web ユーザーや Lotus Domino Web Access ユーザーがインターネットパスワードによる認証で失敗可能なしきい値を設定できます。これにより、設定された試行回数以内でログインできなかったユーザーがロックアウトされるため、ユーザーのインターネットアカウントに対する総当たり攻撃や辞書攻撃を防ぐことができます。認証の失敗とロックアウトに関する情報は、インターネットロックアウトアプリケーションで管理されます。管理者は、このアプリケーションで失敗をクリアしたり、ユーザーアカウントをロック解除できます。
この機能は、サービス不能 (DoS) 攻撃を受けやすいことに注意する必要があります。DoS 攻撃とは、悪意のあるユーザーが、正当なユーザーによるサービスの利用を故意に妨げる攻撃のことです。インターネットパスワードのロックアウトの場合、攻撃者が意図的にログインを失敗することにより、正当なインターネットユーザーが Lotus Domino Server にログインできなくなる可能性があります。

メモ インターネットパスワードのロックアウトは、Domino Off-Line Services (DOLS) には影響しません。

インターネットパスワードのロックアウトには、次のような制限事項があります。

• インターネットパスワードのロックアウトは Web アクセスでのみ使用できます。LDAP、POP、IMAP、DIIOP、IBM(R) Lotus QuickPlace(R)、IBM(R) Lotus Sametime(R) など、その他のインターネットプロトコルやサービスは現在サポートされていません。ただし、認証に使用するパスワードが LDAP サーバーに格納されている場合は、インターネットパスワードのロックアウトを Web 接続に使用できます。
• カスタム DSAPI フィルタを使用中の場合、インターネットのロックアウト機能を利用できないことがあります。これは、DSAPI フィルタが Lotus Notes/Domino の認証をバイパスする方法であるためです。

インターネットロックアウトデータベースインターネットロックアウトデータベース (inetlockout.nsf) は 次のような場合に inetlockout.ntf から作成されます。

• インターネットのロックアウト機能が有効な場合の起動中。
• 初めてロックアウトデータベースを検索するか、またはロックアウトデータベースに書き込む必要があるとき。再起動は必要ありませんが、機能を有効にしてからロックアウトデータベースをオープンするか、またはロックアウトデータベースに書き込むまでに、10 分間は必要です。

Web ユーザーとして Lotus Domino にログインするユーザーについては、ユーザー名、認証の失敗回数、ロックアウトステータスなどのロックアウトの状態に関する情報は、インターネットロックアウトデータベースで管理されます。ユーザーがすでにロックアウトされているとき、またはログインに成功したときは、ロックアウトの試行はロックアウトデータベースに記録されません。ただし、インターネットロックアウトデータベースがロックアウト状態の情報を保持しているときにログイン失敗の履歴を記録する場合は、ログインの失敗とロックアウトの履歴情報を格納する場所を Lotus Domino ドメインモニター (DDM) とする必要があります。

インターネットロックアウトデータベースに保存されているユーザーのアクセス情報に対して変更が行われると、その変更はただちに反映されます。変更を有効にするために HTTP サーバーを再起動する必要はありません。

ロックアウトデータベースには、次の 2 つのビューがあります。

• [Locked Out Users] - 不正なパスワード入力のしきい値を超えたため、現在 Web ユーザーとしてサーバーにログインできないユーザーのレコードが表示されます。
• [Login Failures] - ユーザーが認証に失敗した回数が表示されます。

• [Server name] - ユーザーがロックされているか、または失敗した認証があるサーバー。
• [User name] - ロックアウトされているか、または認証の失敗がログに記録されたユーザーの名前。
• [Locked out] - [Login Failures] ビューでは、この値は [yes] か [no] です。[Locked Out Users] ビューでは [はい] が設定されます。
• [Failed attempts] - 認証に失敗した回数がユーザーごとに表示されます。[Locked Out Users] ビューでは、しきい値の設定と同じ値になります。
• [First failure time] - 最初に認証に失敗した日付と時刻が表示されます。
• [Last failure time] - 最後に認証に失敗した日付と時刻が表示されます。ユーザーがロックアウトされた時間です。ロックアウトされたユーザーが再度ログインを試行しても、この時間は更新されません。

ツールバーで [Mark for Delete/Unlock] をクリックすると、ロックを解除するレコードまたは削除するレコードを複数選択できます。[Delete Marked Items] をクリックすると、選択したレコードを削除できます。

インターネットロックアウトデータベースに記録されているのが有効なユーザーのみであることを、定期的に確認することをお勧めします。名前が変更になったユーザーの名前、または Lotus Domino Server のユーザーではなくなったユーザーの名前を削除します。このデータベースは自動でクリーンアップされません。無効となったユーザーのレコードが残っていても機能的に問題はありませんが、データベースにレコードが多すぎると、インターネット認証のパフォーマンスが低下する可能性があります。

インターネットロックアウトデータベースには、ロックアウトをユーザーに通知するためのカスタムログインフォームを作成できます。カスタム Web フォームの作成方法について詳しくは、「Web サーバーのメッセージをカスタマイズする」を参照してください。

インターネットロックアウトデータベースを複製する
管理者は、インターネットロックアウトデータベースを他のサーバーに複製することが有用かどうかを判断する必要があります。データベースを複製する主な利点として、ロックアウト情報が複数のサーバーに複製されることを挙げることができます。任意の複製を開き、複数のサーバー上のユーザーのロックアウトステータスを確認できます。インターネットパスワードのロックアウトが有効なサーバーで、インターネットロックアウトデータベースを開く必要はありません。

ただし、複製にも欠点があります。たとえば、ネットワークが攻撃されたり、サービス不能攻撃を受けると、複製が過剰に発生することがあります。また、複製の実行が遅れると、特定のサーバー上でロックアウトデータベースを確認している管理者は、複製が行われるまで、ユーザーがロックアウトされていることを確認できない場合があります (ただし、確認しているサーバーのレプリカは直接はいつでも開くことができます)。

インターネットロックアウトデータベースは、ドメイン内のインターネットパスワードのロックアウトが有効なサーバーのレプリカではすべて同一のレプリカIDで作成されます。デフォルトでは、インターネットロックアウトデータベースは一時的に複製が無効にされています。これは、前述の複製の過剰な発生を防ぐためです。データベースを他のサーバーに複製するには、[複製の設定] ダイアログボックスの [その他] セクションで [複製を許可しない] オプションを無効にします。その後、データベースを複製するように設定します (スケジュール複製またはクラスタ複製)。

メモ このデータベースを他のサーバーに複製するときに、個々のサーバーで「無効な試行」情報が計算されます。たとえば、「John Doe」のしきい値が 3 に設定されている場合に、サーバー A で 2 回、サーバー B で 1 回の無効な試行が行われた場合、John Doe はどちらのサーバーでもロックアウトされません。試行は合計 3 回にはまとめられません。複製の目的は管理を容易にすることであり、グローバルしきい値を設定するためではありません。

インターネットパスワードのロックアウトを設定するインターネットパスワードのロックアウトはサーバー設定文書で有効にします。これにより、管理者は複数のサーバーでインターネットロックアウト機能を有効にできます。
メモ サーバー文書のオプション [強いセキュリティで少ない名前のバリエーション] を有効にすることをお勧めします。これにより、あいまいな名前による問題が最小限に抑えられます。Lotus Domino では、ディレクトリ内に同じ短縮名が複数ある場合でも、パスワードが正しければ短縮名で Web サーバーへログインできます。ユーザーがあいまいな名前を入力して誤ってログインしても、ログインを試みたユーザーを特定できないため、あいまい一致は失敗します。また、ロックアウトの有効期限設定による認証失敗のクリアは、ユーザー名とパスワードの一致が成功したユーザーに対してのみ行われます。

インターネットパスワードのロックアウトを有効にして設定するには
1 Lotus Domino Administrator で、[設定] - [サーバー] - [設定] をクリックします。インターネットパスワードのロックアウトを有効にするサーバーのサーバー設定文書を開きます。

2 [セキュリティ] をクリックします。[インターネットパスワードを強制的にロックアウト] 設定には、次の 3 つのオプションがあります。

• [はい] - サーバーでインターネットパスワードのロックアウトが有効になります。インターネットパスワードのロックアウト機能を使用するには、このオプションを有効にする必要があります。
• [いいえ] - サーバーでインターネットパスワードのロックアウトが無効になります。
• (空白) - この設定を空白にすると、[強制] オプションは必ずしも無効になりません。ただし、代わりに別のサーバーの設定文書 (すべてのサーバーに適用される) でこのサーバーのインターネットパスワードのロックアウトが有効かどうかを確認できます。
メモ インターネットパスワードのロックアウトがサーバー設定文書で有効でない場合、ポリシー文書の設定など、他のインターネットロックアウトの設定は無効になります。

有効な場合は、次の設定が表示されます。

設定	設定
ログの設定	コンソールと DDM でログを記録するイベントの種類を選択します。ユーザー名と IP アドレスも記録されます。 [ロックアウト] を有効にすると、ユーザーがロックアウトされたイベントと、ロックアウトされているときに認証を試みたイベントが両方とも記録されます。デフォルトでは使用可能になっています。 [失敗] を有効にすると、失敗した認証がすべて記録されます。認証を試みたクライアントの IP アドレスとユーザー名もログに記録されます。
デフォルトの最大試行回数	ユーザーが間違ったパスワードを入力してロックアウトされるまでの最大回数を指定します。デフォルトは 5 です。ユーザーがロックアウトされた場合、そのユーザーに対して新しい設定値を有効にする前にロックを解除する必要があります。 ユーザーポリシーに異なる値の設定がある場合は、その値がサーバー設定文書に設定された値より優先されます。 メモ この値が 0 の場合、パスワードの試行は無制限です。
デフォルトのロックアウトの有効期限	ロックアウトを有効にする期間を指定します。指定した期間が経過すると、ユーザーが次に認証を試みたときにユーザーアカウントが自動的にロック解除されます。また、認証の失敗もすべてクリアされます。 メモ この値が 0 の場合、ロックアウトは自動で期限切れになりません。アカウントは手動でロック解除する必要があります。
デフォルトの最大試行間隔	不正なパスワードの入力が、認証が成功してクリアされるまでにロックアウトデータベースに保持される期間を指定します。デフォルト値は 24 時間です。 ロックアウトされたユーザーには適用されません。ユーザーがロックアウトされた場合、認証の失敗をクリアしてアカウントのロックを解除するには、インターネットロックアウトデータベースで手動でこの操作を行うか、またはロックアウトの期限が切れる必要があります。 メモ この値が 0 の場合、ロックアウトされていないユーザーがログインに成功するたびに、そのユーザーの不正なパスワードの入力がクリアされます。

関連項目

インターネットパスワードを管理する

用語集