Edge for Private Cloud v4.19.01
Apigee システムでは、API 管理環境でのユーザー認証に OpenLDAP が使用されます。OpenLDAP を使用すると、LDAP パスワード ポリシー機能を利用できます。
このセクションでは、デフォルトで用意されている LDAP パスワード ポリシーの構成方法について説明します。このパスワード ポリシーを使用することで、さまざまなパスワード認証方法を構成できます。たとえば、連続ログイン失敗の最大回数などを設定できます。この回数に達すると、ディレクトリに対するユーザーの認証にそのパスワードを使用できなくなります。
また、デフォルトのパスワード ポリシーで構成された属性に従ってロックされたユーザー アカウントをロック解除する、API の使用方法についても説明します。
追加情報については、以下をご覧ください。
デフォルトの LDAP パスワード ポリシーの構成
デフォルトの LDAP パスワード ポリシーを構成する手順は次のとおりです。
- Apache Studio や ldapmodify などの LDAP クライアントを使用して LDAP サーバーに接続します。デフォルトでは、OpenLDAP サーバーは OpenLDAP ノードのポート 10389 で待機します。
接続するには、バインド DN または
cn=manager,dc=apigee,dc=comのユーザーと、Edge のインストール時に設定した OpenLDAP パスワードを指定します。 - 上記のクライアントを使用して、以下のパスワード ポリシー属性に移動します。
- Edge ユーザー:
cn=default,ou=pwpolicies,dc=apigee,dc=com - Edge システム管理者:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Edge ユーザー:
- 必要に応じてパスワード ポリシー属性の値を編集します。
- 構成を保存します。
デフォルトの LDAP パスワード ポリシー属性
| 属性 | 説明 | デフォルト |
|---|---|---|
pwdExpireWarning |
パスワードの期限切れまでの最大秒数。これに達すると、ディレクトリに対する認証を受けるユーザーに期限切れの警告メッセージが返されます。 |
604800 (7 日間) |
pwdFailureCountInterval |
過去のバインド試行の連続失敗回数が失敗カウンタから削除されるまでの秒数。 つまり、ログインの連続失敗回数がリセットされるまでの秒数です。
この属性は |
300 |
pwdInHistory |
ユーザーがパスワードを変更する場合、変更後のパスワードとして過去に使用したパスワードを再び使用することはできません。 |
3 |
pwdLockout |
|
False |
pwdLockoutDuration |
連続ログイン失敗の最大回数を超えたために、ユーザーの認証にそのパスワードを使用できないままにする秒数。 つまり、
ユーザー アカウントのロック解除をご覧ください。
この属性は |
300 |
pwdMaxAge |
ユーザー(システム管理者以外のユーザー)パスワードが期限切れになるまでの秒数。値を 0 にすると、パスワードは期限切れになりません。デフォルト値 2592000 は、パスワード作成時点から 30 日間です。 |
ユーザー: 2592000 システム管理者: 0 |
pwdMaxFailure |
ログインの連続失敗の最大回数。この回数を超えると、そのパスワードをディレクトリに対するユーザーの認証に使用できなくなります。 |
3 |
pwdMinLength |
設定するパスワードの必要最小限の文字数。 |
8 |
ユーザー アカウントのロック解除
ユーザーのアカウントは、パスワード ポリシーに設定された属性に従ってロックされます。システム管理者の Apigee 役割が割り当てられたユーザーは、次の API 呼び出しを使ってユーザーのアカウントをロック解除できます。userEmail、adminEmail、password は実際の値に置き換えてください。
ユーザーをロック解除するには次のように指定します。
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password