Edge for Private Cloud バージョン 4.17.05
Apigee システムは、API 管理環境で OpenLDAP を使用してユーザーを認証します。OpenLDAP では、この LDAP パスワード ポリシー機能を使用できます。
このセクションでは、提供されているデフォルトの LDAP パスワード ポリシーを構成する方法について説明します。このパスワード ポリシーを使用して、さまざまなパスワード認証オプションを構成します。たとえば、ログインに連続して失敗すると、ディレクトリに対するユーザーの認証にそのパスワードを使用できなくなります。
このセクションでは、デフォルトのパスワード ポリシーで構成されている属性に従ってロックされたユーザー アカウントを、複数の API を使用してロック解除する方法についても説明します。
デフォルトの LDAP パスワード ポリシーの構成
デフォルトの LDAP パスワード ポリシーを構成するには:
- Apache Studio や ldapmodify などの LDAP クライアントを使用して LDAP サーバーに接続します。デフォルトでは、OpenLDAP サーバーは OpenLDAP ノードのポート 10389 をリッスンします。
接続するには、バインド DN または cn=manager,dc=apigee,dc=com のユーザー、および Edge のインストール時に設定した OpenLDAP パスワードを指定します。 - クライアントを使用して、以下のパスワード ポリシー属性に移動します。
- Edge ユーザー: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Edge システム管理者: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- 必要に応じてパスワード ポリシーの属性値を編集します。
- 構成を保存します。
デフォルトの LDAP パスワード ポリシー属性
|
属性 |
Description |
デフォルト |
|---|---|---|
|
pwdExpireWarning |
パスワードが期限切れになるまでの最長秒数。有効期限の警告メッセージは、ディレクトリの認証を行っているユーザーに返されます。 |
604800 (7 日に相当) |
|
pwdFailureCountInterval |
古い連続して失敗したバインド試行が失敗カウンタからパージされるまでの秒数。 つまり、ログイン試行の連続失敗回数がリセットされるまでの秒数です。 pwdFailureCountInterval が 0 に設定されている場合は、認証が成功した場合にのみカウンタをリセットできます。 pwdFailureCountInterval が >0 に設定されている場合、この属性は、認証が成功していなくても、ログイン試行の連続失敗回数が自動的にリセットされるまでの時間を定義します。 この属性は pwdLockoutDuration 属性と同じ値に設定することをおすすめします。 |
300 |
|
pwdInHistory |
pwdHistory 属性に保存される、ユーザーの使用済みパスワードまたは過去のパスワードの最大数。 パスワードを変更すると、ユーザーは過去のパスワードに変更できなくなります。 |
3 |
|
pwdLockout |
TRUE の場合、パスワードの有効期限が切れたときにユーザーをロックアウトし、ユーザーがログインできないように指定します。 |
誤り |
|
pwdLockoutDuration |
連続して失敗したログイン試行の失敗回数が多すぎるため、パスワードを使用してユーザーの認証を実行できない秒数。 つまり、pwdMaxFailure 属性で設定された連続失敗ログイン試行回数を超えたためにユーザー アカウントがロックされたままになる期間です。 pwdLockoutDuration が 0 に設定されている場合、ユーザー アカウントはシステム管理者がロック解除するまでロックされたままになります。 後述の「ユーザー アカウントのロック解除」を参照してください。 pwdLockoutDuration が >0 に設定されている場合、この属性はユーザー アカウントがロックされたままになる期間を定義します。この時間が経過すると、ユーザー アカウントのロックが自動的に解除されます。 この属性は pwdFailureCountInterval 属性と同じ値に設定することをおすすめします。 |
300 |
|
pwdMaxAge |
ユーザー(sysadmin 以外)のパスワードが期限切れになるまでの秒数。値 0 は、パスワードに有効期限がないことを意味します。デフォルト値の 2592000 は、パスワードの作成から 30 日後に対応します。 |
ユーザー: 2592000 sysadmin: 0 |
|
pwdMaxFailure |
連続して失敗したログイン試行の回数。この回数を超えると、ディレクトリに対するユーザーの認証にパスワードを使用できなくなります。 |
3 |
|
pwdMinLength |
パスワードを設定するときに必要な最小文字数を指定します。 |
8 |
ユーザー アカウントのロック解除
パスワード ポリシーで設定されている属性が原因で、ユーザーのアカウントがロックされている可能性があります。システム管理者の Apigee ロールが割り当てられているユーザーは、次の API 呼び出しを使用してユーザーのアカウントのロックを解除できます。中かっこ内の値は、実際の値に置き換えます。
ユーザーのロックを解除するには:
/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}