Apigee システムは、API 管理環境で OpenLDAP を使用してユーザーを認証します。 OpenLDAP では、この LDAP パスワード ポリシー機能を使用できます。
このセクションでは、提供されたデフォルトの LDAP パスワード ポリシーを構成する方法について説明します。使用する パスワード ポリシーを使用して、さまざまなパスワード認証オプションを設定できます。たとえば、 ログインが連続して失敗すると、そのパスワードを使用してアカウントの認証を行えなくなる ユーザーを追加します。
また、いくつかの API を使用して、既存のユーザー アカウントのロックを解除する方法について パスワード ポリシーで構成された属性に従ってロックされます。
詳しくは以下をご覧ください。
デフォルトの LDAP パスワードの構成 ポリシー
このセクションでは、デフォルトの LDAP パスワード ポリシーを構成する方法について説明します。
Edge ユーザーと元の sysadmin に対してデフォルトの LDAP パスワード ポリシーを構成する
Edge ユーザーと元の sysadmin に対してデフォルトの LDAP パスワード ポリシーを構成するには:
- Apache Studio や ldapmodify などの LDAP クライアントを使用して LDAP サーバーに接続します。方法
デフォルトの OpenLDAP サーバーは OpenLDAP ノードのポート 10389 をリッスンします。
接続するには、
cn=manager,dc=apigee,dc=comのバインド DN またはユーザーを指定し、 Edge のインストール時に設定した OpenLDAP のパスワード。 - クライアントを使用して、次のパスワード ポリシー属性に移動します。
<ph type="x-smartling-placeholder">
- </ph>
- Edge ユーザー:
cn=default,ou=pwpolicies,dc=apigee,dc=com - 元の Edge システム管理者:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
注: LDAP パスワードを構成するには、 追加のシステム管理者(元のシステム管理者以外)に対しても その他のシステム管理者用の LDAP パスワード ポリシーについては、下記をご覧ください。
- Edge ユーザー:
- 必要に応じてパスワード ポリシー属性値を編集します。
- 構成を保存します。
追加の sysadmin 用に LDAP パスワード ポリシーを構成する
sysadmin ユーザーを Edge に追加すると、そのユーザーはデフォルトのパスワード ポリシーを継承します。 元の sysadmin の sysadmin パスワード ポリシー。デフォルトのパスワード ポリシーは 一定の時間内に受信します。追加のシステム管理者ユーザーを設定するには、 パスワード ポリシーを適用して期限切れにならないようにするには、次の手順を行います。
- 次のコマンドを実行して、
dnのすべての sysadmin を見つけます。ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base -LLL
出力には、sysadmin ユーザーが
roleOccupantと表示されます。dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com objectClass: organizationalRole objectClass: top cn: sysadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
ppchange.ldifという名前の新しいファイルを作成し、次のコードを追加します( sysadmin ユーザー):dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- 次のコマンドを入力して、ユーザーを変更します。
ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
ldap検索コマンドを使用して変更を確認します。ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
出力には、
pwdPolicySubentryが追加されたことが示されます。dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- sysadmin ごとに手順 2 ~ 4 を繰り返します。
デフォルトの LDAP パスワード ポリシー属性
| 属性 | 説明 | デフォルト |
|---|---|---|
pwdExpireWarning |
パスワードが期限切れになるまでの最大秒数 ディレクトリへの認証を行っているユーザーには警告メッセージが返されます。 |
604800 (7 日間相当) |
pwdFailureCountInterval |
過去に連続して失敗したバインド試行がシステムからパージされるまでの秒数 使用します。 言い換えると、連続したリソースのカウントが 失敗したログイン試行回数はリセットされます
この属性は
|
300 |
pwdInHistory |
自分のパスワードを変更すると、ユーザーは自分のいずれのパスワードにも変更できなくなります。 確認できます。 |
3 |
pwdLockout |
|
False |
pwdLockoutDuration |
期限までにパスワードを使用してユーザーを認証できない秒数 ログイン試行の連続失敗回数が多すぎます。 言い換えると、ユーザー アカウントが保持される期間です。
ユーザー アカウントのロック解除をご覧ください。
この属性は
|
300 |
pwdMaxAge |
ユーザー(システム管理者以外)のパスワードが期限切れになるまでの秒数。値 0 パスワードに有効期限はありません。デフォルト値の 2592000 は、 パスワードが作成された時刻。 |
ユーザー: 2592000 システム管理者: 0 |
pwdMaxFailure |
ログインが連続して失敗した回数(この回数を超えるとパスワードを使用できなくなる可能性があります) ディレクトリに対してユーザーを認証します。 |
3 |
pwdMinLength |
パスワードの設定時に必要な最小文字数を指定します。 |
8 |
ユーザー アカウントのロック解除
パスワード ポリシーで設定された属性が原因で、ユーザーのアカウントがロックされている可能性があります。ユーザーが 割り当てられた sysadmin Apigee ロールは、次の API 呼び出しを使用してユーザーの API をロック解除できます。 あります。userEmail、adminEmail、password を実際の値に置き換えます。 使用できます。
ユーザーのロックを解除するには:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password