パスワードポリシーの設定
パスワードポリシーは、インストールのセキュリティを強化します。 Liferayに同梱されているデフォルトのポリシー(変更するか現状のまま)を使用することも、独自のポリシーを作成することもできます。 ポリシーはユーザーまたは組織に割り当てることができます。
デフォルトのパスワード ポリシーがすべての新規ユーザーに割り当てられます。 ユーザーをカスタム パスワード ポリシーに関連付ける場合は、そのポリシーのメンバーとして割り当てる必要があります。
デフォルトのパスワードポリシーの変更
デフォルトのポリシーを変更するには
-
コントロール パネル → セキュリティ → パスワード ポリシーに移動します。
-
デフォルト パスワード ポリシー の横にある アクション (
) をクリックし、 編集をクリックします。![ポリシーを変更するには、[編集]をクリックします。](https://resources.learn.liferay.com/images/dxp/latest/en/security-and-administration/users-and-permissions/roles-and-permissions/configuring-a-password-policy/images/01.png)
-
設定画面で必要な変更を行います。
-
[保存]をクリックします。
ポリシー設定リファレンス
パスワードの変更: パスワードの変更を許可または禁止し、パスワードの有効期限を制御し、パスワード リセット リンクの有効期間に制限時間を設定します。 カスタマイズ可能なオプションは次のとおりです。
- 変更可能 Liferay DXP 2023.Q4+/Portal GA92+: チェックすると、ユーザーはパスワードを変更できます。 チェックを外すと、アカウント設定およびユーザーと組織アプリケーションを通じてパスワードナビゲーションタブがユーザーに表示されなくなります。
- 変更が必要: チェックすると、ユーザーは初めてログインするときにパスワードを変更する必要があります。
- 最小有効期間: ユーザーがパスワードを再度変更するまでに待機する必要がある時間を決定します。
- リセットチケットの最大有効期間: パスワードリセットリンクの有効性を決定します。
パスワードの構文確認: パスワードを選択するときに特定の構文が必要です。 このセクションでは、辞書に載っている単語を禁止したり、最小の長さを設定したりすることができます。
パスワードの履歴: 履歴に残すパスワードの数を決めて、古いパスワードの再利用を防ぎます。
パスワードの有効期限: パスワードの有効期限を設定する場合、パスワードの有効期間、警告を送信するタイミングと送信するかどうか、および許可する回数(パスワードの有効期限が切れた後、パスワードの変更を強制する前に許可されるログイン数)を指定します。
ロックアウト: アカウントがロックされるまでの認証試行の最大失敗回数、試行回数の保存期間、およびロックアウトの継続期間を設定します。
ユーザーがパスワード ポリシーが異なる複数の組織に属している場合、Liferay は最初に見つかった組織のポリシーを適用します。 順序は保証されないため、すべての組織で一貫したパスワード ポリシーを維持することが最善です。
ポータルプロパティを使用してデフォルトのパスワードポリシーを変更する
ポータルのプロパティを使用してこれらの構成を変更することもできます。 デフォルト値は次のとおりです。
passwords.default.policy.allow.dictionary.words=true
passwords.default.policy.changeable=true
passwords.default.policy.change.required=true
passwords.default.policy.check.syntax=false
passwords.default.policy.expireable=false
passwords.default.policy.grace.limit=0
passwords.default.policy.history=false
passwords.default.policy.history.count=6
passwords.default.policy.lockout=false
passwords.default.policy.lockout.duration=0
passwords.default.policy.max.age=8640000
passwords.default.policy.max.failure=3
passwords.default.policy.min.age=0
passwords.default.policy.min.alphanumeric=0
passwords.default.policy.min.length=6
passwords.default.policy.min.lowercase=0
passwords.default.policy.min.numbers=1
passwords.default.policy.min.symbols=0
passwords.default.policy.min.uppercase=1
passwords.default.policy.name=Default Password Policy
passwords.default.policy.regex=(?=.{4})(?:[a-zA-Z0-9]*)
passwords.default.policy.reset.failure.count=600
passwords.default.policy.reset.ticket.max.age=86400
passwords.default.policy.warning.time=86400
必須プロパティは passwords.default.policy.nameのみです。 その他のポリシーの変更を有効にするには、デフォルトのポリシー名を変更する必要があります。
カスタム期間オプションの追加
パスワード ポリシー設定のドロップダウン メニューに期間の値 (たとえば、12 週間) を追加できます。 これらの値は、「最大経過時間」、「警告時間」、その他の時間ベースのフィールドなどのオプションに表示されます。
-
グローバル メニュー (
) を開き、 コントロール パネル タブに移動して、 システム設定をクリックします。 -
ユーザー をクリックし、左側のメニューで パスワード ポリシー を選択します。
-
拡張する設定(たとえば、最大有効期間)については、(
)をクリックして新しい値を追加します。エントリを削除するには、(
)をクリックします。 -
期間を 秒 単位で入力します (たとえば、12 週間の場合は
7257600)。 -
[保存]をクリックします。
コントロール パネル → セキュリティ → パスワード ポリシーでパスワード ポリシーを編集するときに、対応するドロップダウンに新しい期間が表示されます。
インスタンスが一度も起動されていない場合は、 portal-ext.propertiesの passwords.default.policy.* プロパティを使用してデフォルト値を定義できます。 初期化後、データベースの値は portal-ext.propertiesよりも優先されます。 詳細については、 ポータル プロパティ を参照してください。
カスタムパスワードポリシーの作成
カスタムのパスワードポリシーは、いくつかのシナリオで役に立つかもしれません。 たとえば、特定のユーザーまたはユーザー グループに、より厳格なパスワード ルールを適用したい場合があります。 カスタムポリシーを作成するには
-
コントロール パネル → セキュリティ → パスワード ポリシーに移動します。
-
新しいポリシーを追加するには、 追加 (
) アイコンをクリックします。 -
構成ウィンドウで、パスワード ポリシーの名前と説明を入力します。
-
ポリシーのプロパティを設定します(上記参照)。 完了したら、 「保存」をクリックします。
パスワードポリシーへのメンバーの割り当て
-
パスワードポリシーの横にある アクション (
) → メンバーの割り当てをクリックします。![[メンバーの割り当て]リンクをクリックします。](https://resources.learn.liferay.com/images/dxp/latest/en/security-and-administration/users-and-permissions/roles-and-permissions/configuring-a-password-policy/images/03.png)
-
個々のユーザーまたは組織をパスワード ポリシーに追加できます。 追加 (
) アイコンをクリックすると、新しいフォームがポップアップ表示されます。 -
(ユーザーまたは組織) を選択します。 完了したら、 追加をクリックします。
![選択して、[追加]ボタンをクリックします。](https://resources.learn.liferay.com/images/dxp/latest/en/security-and-administration/users-and-permissions/roles-and-permissions/configuring-a-password-policy/images/04.png)
これで、ユーザーまたは組織がパスワード ポリシーに関連付けられました。
プロパティファイルの使用
Liferay インスタンスの初期セットアップ中に、 portal-ext.properties ファイルを使用してカスタム パスワード ポリシーを作成できます。 カスタマイズしたいプロパティや値をファイルに追加します。 パスワード ポリシーの名前を必ず追加してください。
例えば、最小の長さ、数字、記号を必要とするカスタムパスワードポリシーを設定したい場合、これらの値を設定することができます。
#
# Properties for a Custom Password Policy
#
...
passwords.default.policy.name=Custom Password Policy
passwords.default.policy.check.syntax=true
passwords.default.policy.min.length=10
passwords.default.policy.min.numbers=1
passwords.default.policy.min.symbols=1
...
ポータル プロパティを使用してカスタム パスワード ポリシーを作成できるのは、Liferay インスタンスの初期セットアップ時のみです。 後で変更するには、コントロール パネル UI を使用する必要があります。 デフォルトのパスワード ポリシーを変更するには、コントロール パネル UI も使用する必要があります。
パスワード ポリシーをカスタマイズするために使用できるプロパティの完全なリストについては、以下のリファレンスを参照してください。
portal-ext.properties ファイルを作成したら、それを [Liferay Home] フォルダに配置します。 詳細については、 ポータルのプロパティ をご覧ください。Docker を使用している場合は、 Docker コンテナーの構成をご覧ください。
パスワードのプロパティリファレンス
| プロパティ | デフォルト値 | 説明 |
|---|---|---|
passwords.default.policy.allow.dictionary.words | true | 一般的な辞書の単語をユーザーのパスワードとして許可する. |
passwords.default.policy.changeable | true | ユーザーはパスワードを変更できます。 |
passwords.default.policy.change.required | true | ユーザーは初めてログインするときにパスワードを変更する必要があります。 |
passwords.default.policy.check.syntax | false | パスワードは、特定の単語、長さの規則、および必要な文字パターンについてチェックされます。 |
passwords.default.policy.expireable | false | パスワードは一定時間が経過すると期限切れになります。 |
passwords.default.policy.grace.limit | 0 | パスワードの有効期限が切れた後に許可されるログイン回数を指定します。 |
passwords.default.policy.history | false | ユーザーのパスワードの履歴を残し、以前のパスワードの再利用を防ぐことができる. |
passwords.default.policy.history.count | 6 | 履歴に残す過去のパスワードの数を決定する. |
passwords.default.policy.lockout | false | ユーザーは、アカウントがロックされる前に、一定回数ログインを試みることができます。 |
passwords.default.policy.lockout.duration | 0 | ユーザーのアカウントがロックされたままになる時間を指定します。 値が 0 の場合、管理者のみがロックを解除できます。 時間の単位は秒. |
passwords.default.policy.max.age | 8640000 | パスワードを変更する必要があるまでのパスワードの有効期間を決定します。 時間の単位は秒. |
passwords.default.policy.max.failure | 3 | 間違ったパスワードによるログイン試行の最大回数を指定します。 |
passwords.default.policy.min.age | 0 | ユーザーがパスワードを変更する前に待機する必要がある時間を決定します。 時間の単位は秒. |
passwords.default.policy.min.alphanumeric | 0 | パスワードに必要な英数字の最小数を指定します。 |
passwords.default.policy.min.length | 6 | ユーザーのパスワードに必要な最小の長さを指定します。 |
passwords.default.policy.min.lowercase | 0 | パスワードに必要な小文字の最小数を指定します。 |
passwords.default.policy.min.numbers | 1 | パスワードに必要な数字の最小数を指定します。 |
passwords.default.policy.min.symbols | 0 | パスワードに必要な記号の最小数を指定します。 |
passwords.default.policy.min.uppercase | 1 | パスワードに必要な大文字の最小数を指定します。 |
passwords.default.policy.name | デフォルトのパスワードポリシー | パスワード ポリシー名を指定します。 |
passwords.default.policy.regex | (?=.{4})(?:[a-zA-Z0-9]*) | RegExpToolkit を使用してパスワードを生成する場合、パスワードを生成および検証するための正規表現パターンを設定します。 |
passwords.default.policy.reset.failure.count | 600 | 失敗したログインの記録を保持する期間を指定します。 時間の単位は秒. |
passwords.default.policy.reset.ticket.max.age | 86400 | パスワード リセット リンクの有効期間を秒単位で指定します。 Liferay DXP 2023.Q4+/Portal GA98+: 新しいアカウントのパスワード設定リンクにも適用されます。 |
passwords.default.policy.warning.time | 86400 | パスワードの有効期限が切れる前にユーザーに通知する期間を指定します。 時間の単位は秒. |