การจัดการนโยบายรหัสผ่าน LDAP เริ่มต้นสําหรับการจัดการ API

ระบบ Apigee จะใช้ OpenLDAP เพื่อตรวจสอบสิทธิ์ผู้ใช้ในสภาพแวดล้อมการจัดการ API OpenLDAP จะทำให้ฟังก์ชันการทำงานของนโยบายรหัสผ่าน LDAP นี้ใช้งานได้

ส่วนนี้จะอธิบายวิธีกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้นที่ส่ง ใช้นโยบายรหัสผ่านนี้เพื่อกำหนดค่าตัวเลือกการตรวจสอบสิทธิ์รหัสผ่านต่างๆ เช่น จำนวนครั้งในการเข้าสู่ระบบที่ล้มเหลวติดต่อกัน หลังจากนั้นจะไม่สามารถใช้รหัสผ่านเพื่อตรวจสอบสิทธิ์ผู้ใช้ในการเข้าถึงไดเรกทอรีได้อีก

ส่วนนี้ยังอธิบายถึงวิธีใช้ API หลายรายการเพื่อปลดล็อกบัญชีผู้ใช้ที่ถูกล็อกตามแอตทริบิวต์ที่กำหนดค่าไว้ในนโยบายรหัสผ่านเริ่มต้น

โปรดดูข้อมูลเพิ่มเติมจากหัวข้อต่อไปนี้

การกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้น

ในการกำหนดค่านโยบายรหัสผ่านเริ่มต้นสำหรับ LDAP:

  1. เชื่อมต่อกับเซิร์ฟเวอร์ LDAP โดยใช้ไคลเอ็นต์ LDAP เช่น Apache Studio หรือ ldapmodify โดยค่าเริ่มต้น เซิร์ฟเวอร์ OpenLDAP จะฟังผ่านพอร์ต 10389 บนโหนด OpenLDAP

    หากต้องการเชื่อมต่อ ให้ระบุ DN การเชื่อมโยงหรือผู้ใช้ของ cn=manager,dc=apigee,dc=com และรหัสผ่าน OpenLDAP ที่คุณตั้งค่าไว้ขณะติดตั้ง Edge

  2. ใช้ไคลเอ็นต์เพื่อไปยังแอตทริบิวต์นโยบายรหัสผ่านสำหรับสิ่งต่อไปนี้
    • ผู้ใช้ Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • ผู้ดูแลระบบ Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. แก้ไขค่าแอตทริบิวต์นโยบายรหัสผ่านตามต้องการ
  4. บันทึกการกำหนดค่า

แอตทริบิวต์นโยบายรหัสผ่าน LDAP เริ่มต้น

แอตทริบิวต์ คำอธิบาย ค่าเริ่มต้น 
pwdExpireWarning
 จำนวนวินาทีสูงสุดก่อนที่รหัสผ่านจะหมดอายุ ระบบจะส่งข้อความคำเตือนการหมดอายุไปยังผู้ใช้ที่กำลังตรวจสอบสิทธิ์ในไดเรกทอรี

604800

(เทียบเท่ากับ 7 วัน)

 
pwdFailureCountInterval

จำนวนวินาทีหลังจากความพยายามเชื่อมโยงที่ล้มเหลวติดต่อกันครั้งเก่าจะถูกลบถาวรจากตัวนับความล้มเหลว

กล่าวคือ จำนวนวินาทีที่หลังจากรีเซ็ตจำนวนความพยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกันแล้ว

หากตั้งค่า pwdFailureCountInterval เป็น 0 จะมีเพียงการตรวจสอบสิทธิ์ที่สำเร็จเท่านั้นที่รีเซ็ตตัวนับได้

หากตั้งค่า pwdFailureCountInterval เป็น >0 แอตทริบิวต์จะกำหนดระยะเวลาหลังจากที่ระบบรีเซ็ตจำนวนครั้งในการเข้าสู่ระบบที่ล้มเหลวติดต่อกันแล้วโดยอัตโนมัติ แม้ว่าจะไม่มีการตรวจสอบสิทธิ์ที่สำเร็จก็ตาม

เราขอแนะนำให้ตั้งค่าแอตทริบิวต์นี้เป็นค่าเดียวกับแอตทริบิวต์ pwdLockoutDuration

 300 
pwdInHistory

จำนวนสูงสุดของรหัสผ่านที่ใช้หรือรหัสผ่านที่ผ่านมาสำหรับผู้ใช้ที่จะจัดเก็บในแอตทริบิวต์ pwdHistory

เมื่อเปลี่ยนรหัสผ่าน ระบบจะบล็อกไม่ให้ผู้ใช้เปลี่ยนรหัสผ่านเป็นรหัสผ่านที่ผ่านมาแล้ว

 3 
pwdLockout

หากเป็น TRUE ให้ระบุว่าจะให้ล็อกไม่ให้ผู้ใช้เข้าสู่ระบบเมื่อรหัสผ่านหมดอายุเพื่อให้ผู้ใช้ลงชื่อเข้าสู่ระบบไม่ได้อีกต่อไป

 เท็จ 
pwdLockoutDuration

จำนวนวินาทีที่ไม่สามารถใช้รหัสผ่านในการตรวจสอบสิทธิ์ผู้ใช้ เนื่องจากมีความพยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกันหลายครั้งเกินไป

กล่าวคือ นี่เป็นระยะเวลาที่บัญชีผู้ใช้จะยังคงล็อกอยู่เนื่องจากมีความพยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกันเกินจำนวนครั้งที่กำหนดโดยแอตทริบิวต์ pwdMaxFailure

หากตั้งค่า pwdLockoutDuration เป็น 0 บัญชีผู้ใช้จะยังคงล็อกจนกว่าผู้ดูแลระบบจะปลดล็อก

โปรดดูที่การปลดล็อกบัญชีผู้ใช้

หากตั้งค่า pwdLockoutDuration เป็น >0 แอตทริบิวต์จะกำหนดระยะเวลาที่บัญชีผู้ใช้จะยังคงล็อก หลังจากผ่านระยะเวลานี้ไปแล้ว ระบบจะปลดล็อกบัญชีผู้ใช้โดยอัตโนมัติ

เราขอแนะนำให้ตั้งค่าแอตทริบิวต์นี้เป็นค่าเดียวกับแอตทริบิวต์ pwdFailureCountInterval

 300 
pwdMaxAge

จำนวนวินาทีที่รหัสผ่านของผู้ใช้ (ที่ไม่ใช่ผู้ดูแลระบบ) หมดอายุ ค่า 0 หมายความว่ารหัสผ่านไม่มีวันหมดอายุ ค่าเริ่มต้น 2592000 ตรงกับ 30 วันนับจากเวลาสร้างรหัสผ่าน

ผู้ใช้: 2592000

ผู้ดูแลระบบ: 0

 
pwdMaxFailure

จำนวนครั้งที่พยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกัน หลังจากนั้นไม่สามารถใช้รหัสผ่านเพื่อตรวจสอบสิทธิ์ผู้ใช้ในการเข้าถึงไดเรกทอรี

 3 
pwdMinLength

ระบุจำนวนอักขระต่ำสุดที่กำหนดเมื่อตั้งค่ารหัสผ่าน

 8

การปลดล็อกบัญชีผู้ใช้

บัญชีของผู้ใช้อาจถูกล็อกเนื่องจากแอตทริบิวต์ที่กำหนดไว้ในนโยบายรหัสผ่าน ผู้ใช้ที่มีบทบาท Apigee สำหรับผู้ดูแลระบบจะใช้การเรียก API ต่อไปนี้เพื่อปลดล็อกบัญชีของผู้ใช้ได้ แทนที่ userEmail, adminEmail และ password ด้วยค่าจริง

วิธีปลดล็อกผู้ใช้

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password