API 管理用のデフォルトの LDAP パスワード ポリシーの管理

Apigee システムは、API 管理環境で OpenLDAP を使用してユーザーを認証します。 OpenLDAP では、この LDAP パスワード ポリシー機能を使用できます。

このセクションでは、提供されたデフォルトの LDAP パスワード ポリシーを構成する方法について説明します。使用する パスワード ポリシーを使用して、さまざまなパスワード認証オプションを設定できます。たとえば、 ログインが連続して失敗すると、そのパスワードを使用してアカウントの認証を行えなくなる ユーザーを追加します。

また、いくつかの API を使用して、既存のユーザー アカウントのロックを解除する方法について パスワード ポリシーで構成された属性に従ってロックされます。

詳しくは以下をご覧ください。

デフォルトの LDAP パスワードの構成 ポリシー

デフォルトの LDAP パスワード ポリシーを構成するには:

  1. Apache Studio や ldapmodify などの LDAP クライアントを使用して LDAP サーバーに接続します。方法 デフォルトの OpenLDAP サーバーは OpenLDAP ノードのポート 10389 をリッスンします。

    接続するには、cn=manager,dc=apigee,dc=com のバインド DN またはユーザーを指定し、 Edge のインストール時に設定した OpenLDAP のパスワード。

  2. クライアントを使用して、次のパスワード ポリシー属性に移動します。 <ph type="x-smartling-placeholder">
      </ph>
    • Edge ユーザー: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Edge システム管理者: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. 必要に応じてパスワード ポリシー属性値を編集します。
  4. 構成を保存します。

デフォルトの LDAP パスワード ポリシー属性

属性 説明 デフォルト
pwdExpireWarning
パスワードが期限切れになるまでの最大秒数 ディレクトリへの認証を行っているユーザーには警告メッセージが返されます。

604800

(7 日間相当)

pwdFailureCountInterval

過去に連続して失敗したバインド試行がシステムからパージされるまでの秒数 使用します。

言い換えると、連続したリソースのカウントが 失敗したログイン試行回数はリセットされます

pwdFailureCountInterval が 0 に設定されている場合は、 カウンタをリセットできるのは認証が成功した場合のみです。

pwdFailureCountInterval の設定の有無 >0 の場合、この属性は、ログインが連続して失敗した場合に、 認証に成功していなくても、試行は自動的にリセットされます。

この属性は pwdLockoutDuration 属性。

300
pwdInHistory

pwdHistory 属性。

自分のパスワードを変更すると、ユーザーは自分のいずれのパスワードにも変更できなくなります。 確認できます。

3
pwdLockout

TRUE の場合、以下を指定します。 パスワードの有効期限が切れたときにユーザーをロックアウトして、ユーザーがログインできなくなる。

False
pwdLockoutDuration

期限までにパスワードを使用してユーザーを認証できない秒数 ログイン試行の連続失敗回数が多すぎます。

言い換えると、ユーザー アカウントが保持される期間です。 pwdMaxFailure 属性。

pwdLockoutDuration を 0 に設定した場合、ユーザー アカウントはロックされたままになります ロックを解除するまで続きます。

ユーザー アカウントのロック解除をご覧ください。

pwdLockoutDuration の場合 が >0 に設定されている場合、この属性はユーザー アカウントが維持される期間を定義します。 ロックされています。この期間が経過すると、ユーザー アカウントは自動的に ロックが解除されています。

この属性は pwdFailureCountInterval 属性。

300
pwdMaxAge

ユーザー(システム管理者以外)のパスワードが期限切れになるまでの秒数。値 0 パスワードに有効期限はありません。デフォルト値の 2592000 は、 パスワードが作成された時刻。

ユーザー: 2592000

システム管理者: 0

pwdMaxFailure

ログインが連続して失敗した回数(この回数を超えるとパスワードを使用できなくなる可能性があります) ディレクトリに対してユーザーを認証します。

3
pwdMinLength

パスワードの設定時に必要な最小文字数を指定します。

8

ユーザー アカウントのロック解除

パスワード ポリシーで設定された属性が原因で、ユーザーのアカウントがロックされている可能性があります。ユーザーが 割り当てられた sysadmin Apigee ロールは、次の API 呼び出しを使用してユーザーの API をロック解除できます。 あります。userEmailadminEmailpassword を実際の値に置き換えます。 使用できます。

ユーザーのロックを解除するには:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password
<ph type="x-smartling-placeholder">