Edge for Private Cloud v4.19.01
Apigee システムは、API 管理環境で OpenLDAP を使用してユーザーを認証します。OpenLDAP では、この LDAP パスワード ポリシー機能を使用できます。
このセクションでは、提供されているデフォルトの LDAP パスワード ポリシーを構成する方法について説明します。このパスワード ポリシーを使用して、さまざまなパスワード認証オプションを構成します。たとえば、ログインに連続して失敗すると、ディレクトリに対するユーザーの認証にそのパスワードを使用できなくなります。
このセクションでは、デフォルトのパスワード ポリシーで構成されている属性に従ってロックされたユーザー アカウントを、複数の API を使用してロック解除する方法についても説明します。
詳しくは以下をご覧ください。
デフォルトの LDAP パスワード ポリシーの構成
デフォルトの LDAP パスワード ポリシーを構成するには:
- Apache Studio や ldapmodify などの LDAP クライアントを使用して LDAP サーバーに接続します。デフォルトでは、OpenLDAP サーバーは OpenLDAP ノードのポート 10389 をリッスンします。
接続するには、Bind DN または
cn=manager,dc=apigee,dc=com
のユーザーと、Edge のインストール時に設定した OpenLDAP パスワードを指定します。 - クライアントを使用して、以下のパスワード ポリシー属性に移動します。
- Edge ユーザー:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- Edge システム管理者:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Edge ユーザー:
- 必要に応じてパスワード ポリシーの属性値を編集します。
- 構成を保存します。
デフォルトの LDAP パスワード ポリシー属性
属性 | 説明 | デフォルト |
---|---|---|
pwdExpireWarning |
パスワードが期限切れになるまでの最長秒数。有効期限の警告メッセージは、ディレクトリの認証を行っているユーザーに返されます。 |
604800 (7 日間に相当) |
pwdFailureCountInterval |
古い連続して失敗したバインド試行が失敗カウンタからパージされるまでの秒数。 つまり、ログイン試行の連続失敗回数がリセットされるまでの秒数です。
この属性は |
300 |
pwdInHistory |
パスワードを変更すると、ユーザーは過去のパスワードに変更できなくなります。 |
3 |
pwdLockout |
|
誤り |
pwdLockoutDuration |
連続して失敗したログイン試行の失敗回数が多すぎるため、パスワードを使用してユーザーの認証を実行できない秒数。 つまり、
ユーザー アカウントのロック解除をご覧ください。
この属性は |
300 |
pwdMaxAge |
ユーザー(sysadmin 以外)のパスワードが期限切れになるまでの秒数。値 0 は、パスワードに有効期限がないことを意味します。デフォルト値の 2592000 は、パスワードの作成から 30 日後に対応します。 |
ユーザー: 2592000 sysadmin: 0 |
pwdMaxFailure |
連続して失敗したログイン試行の回数。この回数を超えると、ディレクトリに対するユーザーの認証にパスワードを使用できなくなります。 |
3 |
pwdMinLength |
パスワードを設定するときに必要な最小文字数を指定します。 |
8 |
ユーザー アカウントのロック解除
パスワード ポリシーで設定されている属性が原因で、ユーザーのアカウントがロックされている可能性があります。システム管理者の Apigee ロールが割り当てられているユーザーは、次の API 呼び出しを使用してユーザーのアカウントのロックを解除できます。userEmail、adminEmail、password は実際の値に置き換えます。
ユーザーのロックを解除するには:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password