Apigee システムでは、API 管理環境で OpenLDAP を使用してユーザーを認証します。この LDAP パスワード ポリシー機能は OpenLDAP で有効です。
このセクションでは、デフォルトの LDAP パスワード ポリシーを構成する方法について説明します。このパスワード ポリシーを使用することで、さまざまなパスワード認証方法のオプションを構成できます。たとえば、連続して何回ログインに失敗すると、ディレクトリに対するユーザーの認証にそのパスワードを使用できなくなるようにするかなどです。
また、いくつかの API を使用して、既存のユーザー アカウントのロックを解除する方法について パスワード ポリシーで構成された属性に従ってロックされます。
詳しくは以下をご覧ください。
デフォルトの LDAP パスワードの構成 ポリシー
デフォルトの LDAP パスワード ポリシーを構成するには:
- Apache Studio や ldapmodify などの LDAP クライアントを使用して LDAP サーバーに接続します。方法
デフォルトの OpenLDAP サーバーは OpenLDAP ノードのポート 10389 をリッスンします。
接続するには、
cn=manager,dc=apigee,dc=comのバインド DN またはユーザーを指定し、 Edge のインストール時に設定した OpenLDAP のパスワード。 - 上記のクライアントを使用して、以下のパスワード ポリシー属性に移動します。
- Edge ユーザー:
cn=default,ou=pwpolicies,dc=apigee,dc=com - Edge sysadmin:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Edge ユーザー:
- 必要に応じてパスワード ポリシー属性値を編集します。
- 構成を保存します。
デフォルトの LDAP パスワード ポリシー属性
| 属性 | 説明 | デフォルト |
|---|---|---|
pwdExpireWarning |
パスワードの期限切れまでの最大秒数。これに達すると、ディレクトリに対する認証を受けるユーザーに期限切れの警告メッセージが返されます。 |
604800 (7 日間) |
pwdFailureCountInterval |
過去に連続して失敗したバインド試行がシステムからパージされるまでの秒数 使用します。 つまり、ログインの連続失敗回数がリセットされるまでの秒数です。
この属性は |
300 |
pwdInHistory |
自分のパスワードを変更すると、ユーザーは自分のいずれのパスワードにも変更できなくなります。 確認できます。 |
3 |
pwdLockout |
|
False |
pwdLockoutDuration |
期限までにパスワードを使用してユーザーを認証できない秒数 ログイン試行の連続失敗回数が多すぎます。 言い換えると、ユーザー アカウントが保持される期間です。
ユーザー アカウントのロック解除をご覧ください。
この属性は
|
300 |
pwdMaxAge |
ユーザー(システム管理者以外のユーザー)パスワードが期限切れになるまでの秒数。値を 0 にすると、パスワードは期限切れになりません。デフォルト値の 2592000 は、 パスワードが作成された時刻。 |
ユーザー: 2592000 システム管理者: 0 |
pwdMaxFailure |
連続して何回ログインに失敗すると、ディレクトリに対するユーザーの認証にそのパスワードを使用できなくなるようにするか。 |
3 |
pwdMinLength |
パスワードの設定時に必要な最小文字数を指定します。 |
8 |
ユーザー アカウントのロック解除
パスワード ポリシーで設定された属性が原因で、ユーザーのアカウントがロックされている可能性があります。システム管理者の Apigee ロールが割り当てられたユーザーは、次の API 呼び出しを使ってユーザーのアカウントをロック解除できます。userEmail、adminEmail、password は実際の値に置き換えてください。
ユーザーのロックを解除するには:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password