Gestion de la règle de mot de passe LDAP par défaut pour la gestion des API

Le système Apigee utilise OpenLDAP pour authentifier les utilisateurs dans votre environnement de gestion d'API. OpenLDAP rend disponible cette fonctionnalité de stratégie de mot de passe LDAP.

Cette section explique comment configurer la règle de mot de passe LDAP par défaut transmis. Utilisez ces règles relatives aux mots de passe pour configurer diverses options d'authentification par mot de passe, telles que le nombre de tentatives de connexion infructueuses consécutives après lesquelles un mot de passe ne peut plus être utilisé pour authentifier un utilisateur dans l'annuaire.

Cette section explique également comment utiliser quelques API pour déverrouiller des comptes utilisateur qui ont été verrouillés en fonction des attributs configurés dans la stratégie de mot de passe par défaut.

Pour en savoir plus, consultez les pages suivantes :

Configuration de la stratégie de mot de passe LDAP par défaut

Pour configurer la règle relative aux mots de passe LDAP par défaut:

  1. Connectez-vous à votre serveur LDAP à l'aide d'un client LDAP, tel qu'Apache Studio ou ldapmodify. Par défaut, le serveur OpenLDAP écoute sur le port 10389 du nœud OpenLDAP.

    Pour vous connecter, spécifiez le nom distinctif (ou l'utilisateur) de liaison de cn=manager,dc=apigee,dc=com et le mot de passe OpenLDAP que vous avez défini lors de l'installation d'Edge.

  2. Utilisez le client pour accéder aux attributs de la règle relative aux mots de passe pour :
    • Utilisateurs en périphérie: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Administrateur système Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. Modifiez les valeurs d'attribut de la règle relative aux mots de passe selon vos besoins.
  4. Enregistrez la configuration.

Attributs de la règle relative aux mots de passe LDAP par défaut

Attribut Description Par défaut
pwdExpireWarning
Délai maximal, en secondes, avant l'expiration d'un mot de passe. Des messages d'avertissement d'expiration sont renvoyés à l'utilisateur qui s'authentifie dans l'annuaire.

604800

(équivalent à 7 jours)

pwdFailureCountInterval

Nombre de secondes après lesquelles les anciennes tentatives de liaison ayant échoué consécutives sont supprimées définitivement du compteur d'échecs.

En d'autres termes, il s'agit du nombre de secondes au bout de laquelle le nombre de tentatives de connexion infructueuses consécutives est réinitialisé.

Si pwdFailureCountInterval est défini sur 0, seule une authentification réussie peut réinitialiser le compteur.

Si pwdFailureCountInterval est défini sur >0, l'attribut définit une durée au terme de laquelle le nombre de tentatives de connexion infructueuses consécutives est automatiquement réinitialisé, même si aucune authentification n'a réussi.

Nous vous recommandons de définir cet attribut sur la même valeur que l'attribut pwdLockoutDuration.

300
pwdInHistory

Nombre maximal de mots de passe utilisés ou passés par un utilisateur qui seront stockés dans l'attribut pwdHistory.

Si elle modifie son mot de passe, l'utilisateur ne pourra pas le remplacer par ses anciens mots de passe.

3
pwdLockout

Si la valeur est TRUE, spécifie qu'un utilisateur doit être verrouillé lorsque son mot de passe expire, afin qu'il ne puisse plus se connecter.

Faux
pwdLockoutDuration

Nombre de secondes pendant lesquelles un mot de passe ne peut pas être utilisé pour authentifier l'utilisateur en raison d'un trop grand nombre de tentatives de connexion infructueuses consécutives.

En d'autres termes, il s'agit de la durée pendant laquelle un compte utilisateur reste verrouillé en raison du dépassement du nombre de tentatives de connexion infructueuses consécutives défini par l'attribut pwdMaxFailure.

Si pwdLockoutDuration est défini sur 0, le compte utilisateur reste verrouillé jusqu'à ce qu'un administrateur système le déverrouille.

Consultez Déverrouiller un compte utilisateur.

Si pwdLockoutDuration est défini sur >0, l'attribut définit la durée pendant laquelle le compte utilisateur restera verrouillé. Une fois cette période écoulée, le compte utilisateur est automatiquement déverrouillé.

Nous vous recommandons de définir cet attribut sur la même valeur que l'attribut pwdFailureCountInterval.

300
pwdMaxAge

Durée en secondes après laquelle le mot de passe d'un utilisateur (non-administrateur système) expire. La valeur 0 signifie que les mots de passe n'expirent pas. La valeur par défaut de 2592 000 correspond à 30 jours à compter de la création du mot de passe.

utilisateur: 2 592 000

sysadmin: 0

pwdMaxFailure

Nombre de tentatives de connexion infructueuses consécutives au-delà desquelles un mot de passe ne peut pas être utilisé pour authentifier un utilisateur auprès de l'annuaire.

3
pwdMinLength

Spécifie le nombre minimal de caractères requis lors de la définition d'un mot de passe.

8

Déverrouiller un compte utilisateur

Le compte d'un utilisateur peut être verrouillé en raison d'attributs définis dans la règle relative aux mots de passe. Un utilisateur doté du rôle Apigee d'administrateur système peut utiliser l'appel d'API suivant pour déverrouiller son compte. Remplacez userEmail, adminEmail et password par des valeurs réelles.

Pour déverrouiller un utilisateur:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password