認証ロックアウト機能
PowerCMS にサインインする時に、一定の回数以上、ユーザー名とパスワードを間違えると、ユーザーのアカウントや、特定の IP アドレスからのアクセスがロックされます。これにより、ユーザーアカウントへの辞書攻撃などを防止します。
管理画面(mt.cgi)、会員サイト(mt-members.cgi)、コメント認証(mt-comment.cgi)およびコミュニティ(mt-cp.cgi)へのサインインが対象となります。ただし、外部認証によるサインインは対象にふくまれません。
ロックアウトされる条件
標準の設定では、以下の条件で管理画面へのサインインをロックアウトします。
- ある特定の PowerCMS ユーザーが、1800 秒間に、6 回以上 サインインに失敗した場合、そのユーザーのサインインを 1800 秒間 禁止します。
- 同一 IP アドレスから、1800 秒間に、10 回以上 サインインに失敗した場合、その IP アドレスからのアクセスを 1800 秒間 禁止します。
- 秒もしくは回数に 0 を指定すると、ロックアウトを無効にします。
ロックアウト条件の変更
ロックアウトの条件は、管理画面と環境変数で変更することが可能です。管理画面では、以下の手順で変更します。
- ページ上部のナビゲージョンから [システム] を選択する
- サイドメニューから [設定] - [全般] を選択する
- 「アカウントロックの設定」項目を設定する
設定項目は以下の通りです。
- 通知メール受信者
ユーザーがロックアウトされた場合に、通知メールを受信する管理者を選択します。設定されていない場合は、システムのメールアドレス宛に通知メールを送信します。 - ユーザーのロック方針
指定した秒数の間に、指定回数以上のサインイン失敗があったアカウントをロックします。 - IP アドレスのロック方針
指定した秒数の間に、指定回数以上のサインイン失敗がおこなわれた IP アドレスをロックします。加えて、ロックしない IP アドレスをホワイトリスト形式で指定できます。
ロックアウトの解除
アカウントがロックされると、ロックされたユーザーアカウントのメールアドレスと、システム管理者に通知メールが届きます。ロックを解除するためには、以下の三通りの方法があります。
- ロックされたユーザーあるいはシステム管理者に送信された、通知メールに記載された URL にアクセスして、アカウントのロックを解除します。
- ユーザーのロック、および IP アドレスのロックは、ロック後に一定の期間が経過すると自動で解除されます。最後に失敗したサインインから、ユーザーのロック方針 あるいは IP アドレスのロック方針 で指定した秒数が経過すると、ロックは自動的に解除されます。
- システム管理者として管理画面にサインインし、ページ上部のナビゲージョンから [システム] を選択します。
サイドメニューから [ユーザー] - [一覧] を選択します。
ユーザーの一覧画面で、フィルタから [アカウントがロックされているユーザー] を選択します。ユーザーを選択して、[ロック解除] ボタンをクリックします。
会員サイトのユーザーにはアカウントがロックされたことを通知するメールは送られません。
環境変数の追加
認証ロックアウトの設定は以下の環境変数からも可能です。
- 一覧へ
