アカウントロックの設定

Movable Type にサインインする時に、一定の回数以上、ユーザー名とパスワードを間違えると、ユーザーのアカウントがロックされます。これにより、ユーザーアカウントへの辞書攻撃などを防止します。

管理画面（mt.cgi）、コメント認証（mt-comment.cgi）へのサインインが対象となります。ただし、外部認証によるサインインは対象に含まれません。

ロックアウトされる条件

標準の設定では、以下の条件で管理画面へのサインインをロックアウトします。

• ある特定の MT ユーザーが、1800 秒間 に、6 回以上 サインインに失敗した場合、そのユーザーのサインインを 1800 秒間 禁止します。
• 同一 IP アドレスから、1800 秒間 に、10 回以上 サインインに失敗した場合、その IP アドレスからのアクセスを 1800 秒間 禁止します。

ロックアウト条件の変更

ロックアウトの条件は、管理画面と環境変数で変更することが可能です。管理画面では、以下の手順で変更します。

1. ナビゲーションから [システム] を選択する
2. サイドバーメニュー [設定] - [全般] を選択する
3. 「アカウントロックの設定」項目を設定する

設定項目は以下の通りです。

• 通知メール受信者
  通知メールを受信するシステム管理者を設定します。受信者が設定されていない場合は、システムのメールアドレス 宛に通知します。

• ユーザーのロック方針
  指定した秒数の間に、指定回数以上のサインイン失敗があったアカウントをロックします。

• IPアドレスのロック方針
  指定した秒数の間に、指定回数以上のサインイン失敗がおこなわれた IP アドレスをロックします。加えて、ロックしない IP アドレスをホワイトリスト形式で指定できます。IPアドレスの指定方法は以下を参考にしてください。

  • IP アドレスの入力例
    • 192.169.10.22
    • 192.169.10.22,192.169.10.23
    • 192.169.10.22/29

ロックアウトの解除

アカウントがロックされると、ロックされたユーザーアカウントのメールアドレスと、システム管理者に通知メールが届きます。ロックを解除するためには、以下の三通りの方法があります。

• ロックされたユーザーあるいはシステム管理者に送信された、通知メールに記載された URL にアクセスして、アカウントのロックを解除します。

• ユーザーのロック、および IP アドレスのロックは、ロック後に一定の期間が経過すると自動で解除されます。最後に失敗したサインインから、ユーザーのロック方針 あるいは IP アドレスのロック方針 で指定した秒数が経過すると、ロックは自動的に解除されます。

• システム管理者として管理画面にサインインし、ページ上部のナビゲージョンから [システム] を選択します。 サイドメニューから [ユーザー] - [一覧] を選択します。 ユーザーの一覧画面で、フィルタから [アカウントがロックされているユーザー] を選択します。ユーザーを選択して、[ロック解除] ボタンをクリックします。

環境変数の追加

認証ロックアウトの設定は以下の環境変数からも可能です。

• UserLockoutLimit
• UserLockoutInterval
• IPLockoutLimit
• IPLockoutInterval
• LockoutIPWhitelist
• LockoutNotifyTo
• LockoutExpireFrequency