25.1.3 連続認証失敗回数の制限
- 〈この項の構成〉
(1) 設定できる制限
不正なパスワードを使用し,ユーザ認証に連続して失敗した場合,そのユーザをHiRDBに接続(CONNECT)できないようにします。連続して失敗できる回数の上限(連続認証失敗許容回数)を設定し,その回数を超えたユーザはHiRDBに接続できなくなります。
例えば,連続認証失敗許容回数を3と設定した場合,パスワード不正によって4回連続でユーザ認証に失敗すると,そのユーザは連続認証失敗アカウントロック状態になります。連続認証失敗アカウントロック状態のユーザはHiRDBに接続(CONNECT)できなくなります。
- 参考
-
連続認証失敗回数の制限はユーザ単位に設定できません。HiRDBの全ユーザ(DBA権限保持者や,監査人も含む)に対して一律の適用になります。
また,連続認証失敗アカウントロック状態とする期間(アカウントロック期間)を設定できます。例えば,アカウントロック期間を1時間とした場合,連続認証失敗アカウントロック状態が1時間続きます。1時間を過ぎると連続認証失敗アカウントロック状態が解除されて,HiRDBに接続できるようになります。
- 参考
-
-
アカウントロック期間を無期限にすることもできます。
-
アカウントロック期間内に連続認証失敗アカウントロック状態を解除することもできます。解除方法については,「連続認証失敗アカウントロック状態を解除する」を参照してください。
-
(2) 失敗回数のカウント方法
失敗回数としてカウントされるのは,30バイト以内のパスワード不正のときだけです。次に示す場合は失敗回数としてカウントされません。
-
認可識別子を指定ミスした場合(存在しない認可識別子を指定した場合)
-
31バイト以上のパスワードを指定した場合
- 参考
-
-
時間を空けても連続認証失敗回数は0に戻りません。例えば,失敗した1時間後に再度失敗した場合,連続認証失敗回数は2になります。
-
HiRDBを終了しても連続認証失敗回数は0に戻りません。
-
クライアントマシンを変更してCONNECTした場合でも連続認証失敗回数は有効になります。例えばマシンAで失敗し,その後マシンBで失敗した場合は,連続認証失敗回数が2となります。
-
接続するフロントエンドサーバを変更してCONNECTした場合でも連続認証失敗回数は有効になります。例えばフロントエンドサーバAで失敗し,その後フロントエンドサーバBで失敗した場合は,連続認証失敗回数が2となります。
-
コマンド又はユティリティの実行もカウント対象になります。
-
連続認証失敗アカウントロック状態が解除されると,連続認証失敗回数が0に戻ります。
-
(3) 設定方法
CREATE CONNECTION SECURITYで連続認証失敗回数の制限を設定します。設定方法については,「連続認証失敗回数の制限を設定又は解除する」を参照してください。
連続認証失敗回数の制限の運用方法については,次に示します。
(4) 必要なRDエリア
この機能を使用する場合,連続認証失敗アカウントロック状態を確認するときにシステム定義スカラ関数ADD_INTERVALを使用するため,データディクショナリLOB用RDエリアが必要になります。データディクショナリLOB用RDエリアがない場合はデータディクショナリLOB用RDエリアを作成してください。