アカウントの一時停止ルールを設定する方法

ログインを試みて失敗した回数があまりに多い場合、またはそのユーザが最近ログインしていなかった場合に、ユーザ アカウントを一時停止させることができます。
cad126jp
ログインを試みて失敗した回数があまりに多い場合、またはそのユーザが最近ログインしていなかった場合に、ユーザ アカウントを一時停止させることができます。
これらの制限を両方とも設定できます。
未使用アカウントの一時停止
最近使用されていないアカウントを一時停止できます。
set password-last-use
コマンドを使用して、未使用のアカウントが一時停止されるまでの期間を設定します。
このコマンドを使用した場合、各ユーザは、設定した回数以上のログインに成功する必要があります。それがなかった場合、アカウントが一時停止されます。
パスワードが使用されない場合のパスワードの有効な日数を設定するには、以下のコマンドを使用します。
set password-last-use = number-days | 0;
例: 未使用のアカウントを60 日後に一時停止する
この例では、ユーザが60 日間に少なくとも 1 回はログインし、少なくとも 90 日ごとにパスワードを変更するように設定します。
これを設定するには、以下のコマンドを使用します。
set password-policy = true; set password-age = 90; set password-last-use = 60;
例: 未使用のアカウントを一時停止し、パスワードの変更を強要しない
この例では、少なくとも 10 日に 1 回ログインしていれば、同じパスワードを使用し続けることができるように設定します。
10 日間使用されない場合を除いて、パスワードを無期限に有効にするには、以下のコマンドを使用します。
set password-policy = true; set password-last-use = 10;
デフォルト値 の 0 (オフ)を使用しているため、
set password-age
オプションは使用する必要がありません。
ログイン試行が失敗した後アカウントを一時停止する
ログインを一定回数試行した後、アカウントを一時停止させるには、以下のコマンドを使用します。
set password-retries = number-retries;
このコマンドを設定しない場合、再試行の回数としてデフォルト値の 3 回が使用されます。
例: ユーザによるログイン試行を 2 回に設定する
この例では、ユーザがログインを 2 回のみ試行して失敗した後、そのアカウントを一時停止します。
これを設定するには、以下のコマンドを使用します。
set password-policy = true; set password-retries = 2;
ユーザが不正なパスワードでログインしようとするとき、以下のようになります。
  1. Craig Link は、誤ったパスワードを使用してログインを試みます。
  2. 彼は、別の不正なパスワードで再度試行します。
    彼のログインは失敗します。また、彼のアカウントが一時停止されます。
ユーザが再度ログイン可能になるまでの時間の設定
set password-retries
コマンドを使用して、アカウントが一時停止になるまでのユーザによるログイン試行回数を定義する場合、ユーザが再度試行できるまでの時間も設定できます。
これは、設定した期間の後、一時停止していたアカウントが再度アクティブになることを意味します。
ユーザがこのオプションを使用しない場合、管理者はパスワードをリセットしてアカウントをロック解除する必要があります。
一定の時間の経過後にユーザに再度ログインさせるには、以下のコマンドを使用します。
set password-max-suspension = number-seconds | 0 ;
例: ユーザは 5 回ログイン試行が可能、再試行までの遅延時間は 30 分
この例では、ユーザはアカウント停止までにログインの失敗を 5 回試行できます。その後ユーザは 30 分後に再度試行が可能になります。
これを設定するには、以下のコマンドを使用します。
set password-policy = true; set password-retries = 5; set password-max-suspension = 1800;
ユーザが不正なパスワードでログインしようとするとき、以下のようになります。
  1. Craig Link は、誤ったパスワードを使用してログインを試みます。
  2. 彼は不正なパスワードでさらにもう 4 回試行します。
    彼のログインは失敗します。また、彼のアカウントが一時停止されます。
  3. 30 分後、Craig Link のアカウントは再度アクティブになり、彼は再びログインを試行できます。
一部のアカウントを一時停止なしに設定する
アカウントは、誤ったログイン試行の回数に関係なく、一時停止なしに設定できます。
パスワード ロックアウト攻撃の影響を受けないようにする必要のあるクリティカルなアカウントの保護に、これを使用できます。
以下の手順に従います。
  1. 以下のコマンドを使用して、
    password-allow-ignore-suspended
    オプションを
    true
    に設定します。
    set password-allow-ignore-suspended = true;
  2. ユーザのエントリに
    dxPwdIgnoreSuspended
    属性を追加します。
  3. この属性の値を
    true
    に設定します。
注:
「一時停止なし」に設定されるユーザ パスワードを確認するには、属性が
dxPwdIgnoreSuspended =true
の全ユーザ アカウントを検索します。