Das Apigee-System verwendet OpenLDAP, um Nutzer in Ihrer API-Verwaltungsumgebung zu authentifizieren. OpenLDAP stellt diese LDAP-Passwortrichtlinienfunktion zur Verfügung.
In diesem Abschnitt wird beschrieben, wie die übermittelte Standard-LDAP-Passwortrichtlinie konfiguriert wird. Mit dieser Passwortrichtlinie können Sie verschiedene Optionen für die Passwortauthentifizierung konfigurieren, z. B. die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche, nach denen ein Passwort nicht mehr zur Authentifizierung eines Nutzers im Verzeichnis verwendet werden kann.
In diesem Abschnitt wird auch beschrieben, wie Sie mit einigen APIs Nutzerkonten entsperren, die gemäß den in der Standard-Passwortrichtlinie konfigurierten Attributen gesperrt wurden.
Weitere Informationen finden Sie unter:
Standard-LDAP-Passwortrichtlinie konfigurieren
So konfigurieren Sie die LDAP-Passwortrichtlinie:
- Stellen Sie über einen LDAP-Client wie Apache Studio oder ldapmodify eine Verbindung zu Ihrem LDAP-Server her. Standardmäßig überwacht der OpenLDAP-Server Port 10389 auf dem OpenLDAP-Knoten.
Geben Sie zum Herstellen einer Verbindung den Bind-DN oder den Nutzer von
cn=manager,dc=apigee,dc=comund das OpenLDAP-Passwort an, das Sie bei der Edge-Installation festgelegt haben. - Verwenden Sie den Client, um die Passwortrichtlinienattribute für Folgendes aufzurufen:
- Edge-Nutzer:
cn=default,ou=pwpolicies,dc=apigee,dc=com - Edge-Sysadmin:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Edge-Nutzer:
- Bearbeiten Sie die Attributwerte der Passwortrichtlinie nach Bedarf.
- Speichern Sie die Konfiguration.
Standardattribute für LDAP-Passwortrichtlinien
| Attribut | Beschreibung | Standard |
|---|---|---|
pwdExpireWarning |
Die maximale Anzahl von Sekunden, bevor ein Passwort abläuft, damit Warnungen zum Ablauf an einen Nutzer zurückgegeben werden, der sich beim Verzeichnis authentifiziert. |
604800 (entspricht 7 Tagen) |
pwdFailureCountInterval |
Anzahl der Sekunden, nach denen alte, aufeinanderfolgende fehlgeschlagene Bindungsversuche dauerhaft aus dem Fehlerzähler gelöscht werden. Dies ist also die Anzahl der Sekunden, nach der die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche zurückgesetzt wird. Wenn Wenn Wir empfehlen, für dieses Attribut denselben Wert wie für das Attribut |
300 |
pwdInHistory |
Die maximale Anzahl verwendeter oder früherer Passwörter für einen Nutzer, die im Attribut Wenn der Nutzer sein Passwort ändert, kann er keines der bisherigen Passwörter mehr verwenden. |
3 |
pwdLockout |
Wenn |
Falsch |
pwdLockoutDuration |
Anzahl der Sekunden, in denen ein Passwort aufgrund zu vieler aufeinanderfolgender fehlgeschlagener Anmeldeversuche nicht zur Authentifizierung des Nutzers verwendet werden kann. Mit anderen Worten: Dies ist der Zeitraum, während dessen ein Nutzerkonto gesperrt bleibt, weil die mit dem Attribut Wenn Weitere Informationen finden Sie unter Nutzerkonto entsperren. Wenn Wir empfehlen, für dieses Attribut denselben Wert wie für das Attribut |
300 |
pwdMaxAge |
Anzahl der Sekunden, nach denen das Passwort eines Nutzers (kein Systemadministrator) abläuft. Ein Wert von 0 bedeutet, dass Passwörter nicht ablaufen. Der Standardwert von 2592000 entspricht 30 Tagen ab Erstellung des Passworts. |
Nutzer: 2592000 sysadmin: 0 |
pwdMaxFailure |
Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche, nach denen ein Passwort nicht zur Authentifizierung eines Nutzers für das Verzeichnis verwendet werden darf. |
3 |
pwdMinLength |
Gibt die Mindestanzahl von Zeichen an, die beim Festlegen eines Passworts erforderlich sind. |
8 |
Nutzerkonto entsperren
Das Konto eines Nutzers ist möglicherweise aufgrund von Attributen gesperrt, die in den Passwortrichtlinien festgelegt sind. Ein Nutzer mit der Apigee-Rolle „sysadmin“ kann den folgenden API-Aufruf verwenden, um das Konto des Nutzers zu entsperren. Ersetzen Sie userEmail, adminEmail und password durch tatsächliche Werte.
So entsperren Sie einen Nutzer:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password