PaperCutのログインを制限するレート

PaperCut Ver.18.3以降、OWASP勧告に沿った認証の試行回数を制限するセキュリティ機能が搭載されました。
これは、不正なログイン要求の回数が制限値を超えた場合に、認証要求を失敗させることにより、
パスワードのブルートフォース攻撃に対する配備を強化するものです。

レート制限は、ビルトイン管理者ユーザとサーバが管理するすべての内部ユーザにも適用されます。
外部ユーザソース(例: Active Directoryなど)から同期したユーザについては、
認証は外部ユーザ・ソースにに委ねられるため、ソース上で設定されている必要があります。

この制限は、サーバのすべてのログイン・インタフェースとAPIに適用され、クライアントIP毎に設定されます。
デフォルトの制限値はIP毎に60秒あたり20回の不正ログインです。
制限値は設定キー「user.security.ip-rate-limit-per-min」から変更可能です。
管理者は、アプリケーション・ログのメッセージ経由で制限の有効化が通知されます。

注記
以前のPaperCutのバージョンでは、設定キー「client.api.security.rate-limit.enabled」を使用して、
クライアント側でこの機能を制御していました。
現在この設定キーは廃止されており、「user.security.ip-rate-limit-per-min」で制御されています。
以前の設定キー「client.api.security.rate-limit.enabled」の値の設定で、
この設定を無効化していた場合、新しい設定キー「user.security.ip-rate-limit-per-min」により有効化されるため、
ログインを制限するレートを無効化するためには値にマイナスの値(例: -1) を設定する必要があります。

-------------------------

https://www.papercut.com/kb/Main/RateLimitingLogins