API 管理のためのデフォルト LDAP パスワード ポリシーの管理

Apigee システムでは、API 管理環境で OpenLDAP を使用してユーザーを認証します。この LDAP パスワード ポリシー機能は OpenLDAP で有効です。

このセクションでは、デフォルトの LDAP パスワード ポリシーを構成する方法について説明します。このパスワード ポリシーを使用することで、さまざまなパスワード認証方法を構成できます。たとえば、連続ログイン失敗の最大回数などを設定できます。この回数に達すると、ディレクトリに対するユーザーの認証にそのパスワードを使用できなくなります。

また、デフォルトのパスワード ポリシーで構成された属性に従ってロックされたユーザー アカウントをロック解除する、API の使用方法についても説明します。

追加情報については、以下をご覧ください。

デフォルト LDAP パスワード ポリシーの構成

デフォルト LDAP パスワード ポリシーを構成するには:

  1. Apache Studio や ldapmodify などの LDAP クライアントを使用して LDAP サーバーに接続します。デフォルトでは、OpenLDAP サーバーは OpenLDAP ノードのポート 10389 をリッスンします。

    LDAP サーバーに接続するには、バインド DN、すなわち cn=manager,dc=apigee,dc=com というユーザーと、Edge のインストール時に設定した OpenLDAP パスワードを指定します。

  2. 上記のクライアントを使用して、以下のパスワード ポリシー属性に移動します。
    • Edge ユーザー: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Edge sysadmin: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. 必要に応じてパスワード ポリシー属性の値を編集します。
  4. 構成を保存します。

デフォルト LDAP パスワード ポリシー属性

属性 説明 デフォルト

pwdExpireWarning
パスワードの有効期限が近づいていることを警告するメッセージをいつ返すかを指定する属性。有効期限より「ここで指定した秒数」前の時点が過ぎると、ディレクトリで認証されるユーザーに対して警告メッセージが返されます。

604800

(7 日間)


pwdFailureCountInterval

過去のバインド試行の連続失敗回数が失敗カウンタから削除されるまでの秒数。

つまり、ログインの連続失敗回数がリセットされるまでの秒数です。

pwdFailureCountInterval が 0 に設定されている場合は、認証が成功しない限りカウンタはリセットされません。

pwdFailureCountInterval が >0 に設定されている場合は、指定された時間が経過すると、その間認証が一度も成功していなくても、ログインの連続失敗回数は自動的にリセットされます。

この属性は pwdLockoutDuration 属性と同じ値に設定することをおすすめします。

300

pwdInHistory

pwdHistory 属性に保存される、ユーザーの過去に使用されたパスワードの最大数。

ユーザーがパスワードを変更するとき、過去に使用したパスワードを再び使用することはできません。

3

pwdLockout

TRUE の場合、パスワードの有効期限が切れたユーザーはロックアウトされてログインできなくなります。

False

pwdLockoutDuration

連続ログイン失敗の最大回数を超えたために、そのユーザーの認証にパスワードを使用できないようにする秒数。

つまり、pwdMaxFailure 属性で設定された連続ログイン失敗の最大回数を超えたためにユーザー アカウントがロックされる時間の長さです。

pwdLockoutDuration が 0 に設定されている場合は、システム管理者がロックを解除しない限り、そのユーザー アカウントはロックされたままになります。

ユーザー アカウントのロック解除をご覧ください。

pwdLockoutDuration が >0 に設定されている場合、この属性はユーザー アカウントがロックされる時間の長さを定義します。この時間が過ぎると、ユーザー アカウントのロックは自動的に解除されます。

この属性は pwdFailureCountInterval 属性と同じ値に設定することをおすすめします。

300

pwdMaxAge

ユーザー(sysadmin 以外のユーザー)のパスワードが期限切れになるまでの秒数。値を 0 にすると、パスワードは期限切れになりません。デフォルト値 2592000 は、パスワード作成時点から 30 日間です。

ユーザー: 2592000

sysadmin: 0


pwdMaxFailure

連続ログイン失敗の最大回数。この回数を超えると、ディレクトリに対するユーザーの認証にパスワードが使用できなくなります。

3

pwdMinLength

設定するパスワードの必要最小限の文字数。

8

ユーザー アカウントのロック解除

ユーザーのアカウントは、パスワード ポリシーに設定された属性に従ってロックされます。システム管理者の Apigee 役割が割り当てられたユーザーは、次の API 呼び出しを使ってユーザーのアカウントをロック解除できます。userEmailadminEmailpassword は実際の値に置き換えてください。

ユーザーをロック解除するには:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password