サイクロンはエンタープライズ利用を想定し、様々なセキュリティ対策とセキュリティ管理方針の上で運営されています。
今回は、1.11-RELEASE で新たに追加される機能「アカウントのロックアウト」について解説します。
サイクロンのアカウント管理には「アカウントロック」機能がありますが、ロックは管理者によって設定される恒久的なロック(アカウントの利用不可)であり、ロックアウトとは異なることに注意してください。
ロックアウトのポリシー
- 不正な操作、異常な操作(主にパスワードの試行)が行われたアカウントは、一時的にアクセスを遮断します。
- 遮断された状態を「ロックアウト」といい、ロックされたアカウントは一定時間アクセスすることができません。
- ロックアウトされる理由として、期間内に間違ったパスワードを指定し複数回入力された場合にアカウントを無効にする機能です。
- 意図せずロックアウトされた場合、管理者アカウントにより解除することができます。
- 管理者アカウントの解除以外に、一定時間が経過した場合にもロックアウトは自動的に解除されます。
- サイト所有者アカウント(特別な管理アカウント)もロックアウトされます。
- すでにログイン済みのセッションに対して、ロックアウトは影響しません。
ロックアウトされる条件
サイクロンでは以下の条件でログインをロックアウトします。
- あるアカウントで、7回以上ログインに失敗した場合、そのアカウントのログインを禁止します。
- 試行回数がリセットするためには、ログインに成功、またはロックアウト解除によりリセットすることができます。
ロックアウトの解除
アカウントがロックアウトされると、ロックアウトされたアカウントは一定時間(ロックアウト後から30分間)アクセスすることができません。ロックアウトの解除は2つあります。
- ロックされてから30分経過後、ロックアウトは自動的に解除されます。
- 管理者アカウントでユーザ管理画面からロックされているアカウントを選択し、ロックアウトの解除を実施します。