パスワードポリシーの設定
パスワードポリシーは、インストールのセキュリティを強化します。 Liferayに同梱されているデフォルトのポリシー(変更するか現状のまま)を使用することも、独自のポリシーを作成することもできます。 ポリシーは、ユーザーまたは組織に割り当てることができます。
新規ユーザーには、デフォルトでデフォルトパスワードポリシーが割り当てられます。 ユーザーをカスタムパスワードポリシーに関連付ける場合は、そのポリシーのメンバーとして割り当てられる必要があります。
概要
デフォルトのパスワードポリシーの変更
デフォルトのポリシーを変更するには
-
[コントロールパネル] → [セキュリティ] → [パスワードポリシー] へ行きます。
-
デフォルトのパスワードポリシー]の横にあるアクションボタン(
)をクリックし、 [Edit] をクリックします。![ポリシーを変更するには、[編集]をクリックします。](https://resources.learn-dev.liferay.com/images/dxp/latest/en/users-and-permissions/roles-and-permissions/configuring-a-password-policy/images/01.png)
-
設定画面で必要な変更を行います。
-
完了したら、 [Save] をクリックします。
ポリシー設定リファレンス
変更するパスワード: パスワードの変更を許可または禁止し、パスワードリセットリンクの有効期間を設定します。
パスワードの構文確認: パスワードを選択するときに特定の構文が必要です。 このセクションでは、辞書に載っている単語を禁止したり、最小の長さを設定したりすることができます。
パスワードの履歴: 履歴に残すパスワードの数を決めて、古いパスワードの再利用を防ぎます。
パスワードの有効期限: パスワードの有効期限を設定する場合、パスワードの有効期間、警告を送信するタイミングと送信するかどうか、および 許可する回数(パスワードの有効期限が切れた後、パスワードの変更を強制する前に許可されるログイン数)を指定します。
ロックアウト: アカウントがロックされるまでの認証試行の最大失敗回数、試行回数の保存期間、およびロックアウトの継続期間を設定します。
カスタムパスワードポリシーの作成
カスタムのパスワードポリシーは、いくつかのシナリオで役に立つかもしれません。 例えば、特定のユーザーやユーザーグループに対して、より厳しいパスワードルールを設定することができます。 カスタムポリシーを作成するには
-
[コントロールパネル] → [セキュリティ] → [パスワードポリシー] へ行きます。
-
追加 アイコン (
) をクリックして、新しいポリシーを追加します。 -
設定ウィンドウで、パスワードポリシーの名前と説明を入力します。
-
ポリシーのプロパティを設定します(上記参照)。 完了したら、 [保存] をクリックします。
パスワードポリシーへのメンバーの割り当て
-
パスワードポリシーの横にある「アクション」 ボタン(
)をクリックします。 [Assign Members] をクリックします。![[メンバーの割り当て]リンクをクリックします。](https://resources.learn-dev.liferay.com/images/dxp/latest/en/users-and-permissions/roles-and-permissions/configuring-a-password-policy/images/03.png)
-
パスワードポリシーには、個々のユーザーまたは組織を追加することができます。 追加 アイコン (
) をクリックすると、新しいフォームがポップアップ表示されます。 -
ユーザーまたは組織を)選択する。 完了したら、 [追加] をクリックします。
![選択して、[追加]ボタンをクリックします。](https://resources.learn-dev.liferay.com/images/dxp/latest/en/users-and-permissions/roles-and-permissions/configuring-a-password-policy/images/04.png)
これで、ユーザーまたは組織がパスワードポリシーに関連付けられました。
プロパティファイルの使用
Liferayインスタンスの初期設定中に、 portal-ext.properties ファイルを使用して、カスタムパスワードポリシーを作成することができます。 カスタマイズしたいプロパティや値をファイルに追加します。 パスワードポリシーの名前を必ず追加してください。
例えば、最小の長さ、数字、記号を必要とするカスタムパスワードポリシーを設定したい場合、これらの値を設定することができます。
#
# カスタムパスワードポリシーのプロパティ
#
...
passwords.default.policy.name=Custom Password Policy
passwords.default.policy.check.syntax=true
passwords.default.policy.min.length=10
passwords.default.policy.min.numbers=1
passwords.default.policy.min.symbols=1
...
ポータルのプロパティを使用してカスタムパスワードポリシーを作成できるのは、Liferayインスタンスの初期セットアップ時のみです。 後から修正する場合は、コントロールパネルのUIを使用する必要があります。 デフォルトのパスワードポリシーを変更するには、コントロールパネルのUIも使用する必要があります。
パスワードポリシーをカスタマイズするために使用できるプロパティの全リストは、以下のリファレンスを参照してください。
portal-ext.properties ファイルを作成したら、 [Liferay Home] フォルダに配置します。 ポータルのプロパティの詳細 または、Dockerを使用している場合は、 Dockerコンテナの設定を参照してください。
パスワードのプロパティリファレンス
| プロパティ | デフォルト値 | 説明 |
|---|---|---|
パスワード.デフォルト.ポリシー.許可.辞書.単語 | true | 一般的な辞書の単語をユーザーのパスワードとして許可する |
パスワード.デフォルト.ポリシー.変更可能 | true | ユーザーが自分のパスワードを変更できる |
パスワード.デフォルト.ポリシー.変更.必須 | true | ユーザーが最初にログインする際に、パスワードの変更を求められる |
パスワード.デフォルト.ポリシー.チェック.シンタックス | false | パスワードは、特定の単語、特定の長さ、特定の文字などをチェックします。 |
パスワード.デフォルト.ポリシー.エクスパイアブル | false | 設定した時間後にパスワードを失効させることができる |
パスワード.デフォルト.ポリシー.グレース.リミット | 0 | パスワードの有効期限が切れた後、ユーザーが新しいパスワードの入力を要求されるまでにログインできる回数 |
パスワード.デフォルト.ポリシー.ヒストリー | false | ユーザーのパスワードの履歴を残し、以前のパスワードの再利用を防ぐことができる |
パスワード.デフォルト.ポリシー.履歴.カウント | 6 | 履歴に残す過去のパスワードの数を決定する |
パスワード.デフォルト.ポリシー.ロックアウト | false | ユーザーが一定回数ログインを試みると、アカウントがロックされます。 |
パスワード.デフォルト.ポリシー.ロックアウト.デュレーション | 0 | ユーザーのアカウントがロックされる時間です。 管理者のみがパスワードを解除できる場合は0。 時間の単位は秒 |
パスワード.デフォルト.ポリシー.最大.年齢 | 8640000 | パスワードの変更が必要となるまでの有効期間を決定します。 時間の単位は秒 |
パスワード.デフォルト.ポリシー.最大.失敗 | 3 | ユーザーが間違ったパスワードでログインしようとする最大回数 |
パスワード.デフォルト.ポリシー.最小.年齢 | 0 | ユーザーが再びパスワードを変更するまでの時間を決定します。 時間の単位は秒 |
パスワード.default.policy.min.alphanumeric | 0 | ユーザーのパスワードに必要な英数字の最小文字数 |
パスワード.default.policy.min.length | 6 | ユーザーのパスワードに要求される最小の長さ |
パスワード.default.policy.min.lowercase | 0 | ユーザーのパスワードに必要な小文字の最小数 |
パスワード.デフォルト.ポリシー.最小値.数字 | 1 | ユーザーのパスワードに必要な最低限の数字の数 |
パスワード.デフォルト.ポリシー.min.シンボル | 0 | ユーザーのパスワードに必要な最低限の記号の数 |
パスワード.default.policy.min.uppercase | 1 | ユーザーのパスワードに必要な大文字の最小数 |
パスワード.デフォルト.ポリシー.名 | デフォルトのパスワードポリシー | パスワードポリシーの名称 |
パスワード.デフォルト.ポリシー.リジェックス | (?=.{4})(?:[a-zA-Z0-9]*) | RegExpToolkitを使用してパスワードを生成する場合は、パスワードの生成と検証に使用する正規表現パターンを設定します。 |
パスワード.デフォルト.ポリシー.リセット.失敗.カウント | 600 | 失敗したログインの記録がユーザーのために保存される時間です。 時間の単位は秒 |
パスワード.デフォルト.ポリシー.リセット.チケット.最大.年齢 | 86400 | パスワードリセットリンクの有効期間。 時間の単位は秒 |
パスワード.デフォルト.ポリシー.警告.時間 | 86400 | パスワードの有効期限が切れる前に、ユーザーに通知する時間を指定します。 時間の単位は秒 |