Edge for Private Cloud v. 4.16.05
Sistem Apigee menggunakan OpenLDAP untuk mengautentikasi pengguna di lingkungan pengelolaan API Anda. OpenLDAP menyediakan fungsi kebijakan sandi LDAP ini.
Bagian ini menjelaskan cara mengonfigurasi kebijakan sandi LDAP default yang dikirimkan. Gunakan ini kebijakan {i>password<i} untuk mengonfigurasi berbagai opsi otentikasi {i>password<i}, seperti jumlah upaya masuk gagal berturut-turut setelah itu {i>password<i} tidak lagi dapat digunakan untuk mengotentikasi pengguna ke direktori.
Bagian ini juga menjelaskan cara menggunakan beberapa API untuk mengakses akun pengguna yang telah dikunci sesuai dengan atribut yang dikonfigurasi dalam kebijakan {i>password<i} {i>default<i}.
Mengonfigurasi Sandi LDAP Default Kebijakan
Untuk mengonfigurasi kebijakan sandi LDAP default:
- Hubungkan ke server LDAP Anda menggunakan klien LDAP, seperti Apache Studio atau ldapmodify. Menurut
Server OpenLDAP {i>default<i} mendengarkan di porta 10389 pada {i>node<i} OpenLDAP.
Untuk terhubung, tentukan Bind DN atau pengguna cn=manager,dc=apigee,dc=com dan Sandi OpenLDAP yang Anda setel pada saat penginstalan Edge. - Gunakan klien untuk membuka atribut kebijakan sandi untuk:
- Pengguna Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Edge sysadmin: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Edit nilai atribut kebijakan sandi sesuai keinginan.
- Simpan konfigurasi.
Atribut Kebijakan Sandi LDAP Default
Atribut |
Deskripsi |
Default |
---|---|---|
pwdExpireWarning |
Jumlah detik maksimum sebelum sandi habis masa berlakunya pesan peringatan akan dikembalikan ke pengguna yang melakukan otentikasi ke direktori. |
604800 (Setara dengan 7 hari) |
pwdFailureCountInterval |
Jumlah detik setelah upaya binding lama yang gagal secara berturut-turut dihapus dari penghitung kegagalan. Dengan kata lain, ini adalah jumlah detik setelahnya hitungan berturut-turut upaya masuk yang gagal direset. Jika pwdFailureCountInterval disetel ke 0, hanya otentikasi yang berhasil yang dapat mengatur ulang penghitung. Jika pwdFailureCountInterval disetel ke >0, atribut menentukan durasi sebelum jumlah login gagal secara berturut-turut percobaan akan diatur ulang secara otomatis, walaupun tidak terjadi otentikasi yang berhasil. Sebaiknya atribut ini ditetapkan ke nilai yang sama dengan pwdLockoutDuration . |
300 |
pwdInHistory |
Jumlah maksimum sandi yang telah digunakan atau sudah pernah digunakan untuk pengguna yang akan disimpan di pwdHistory. Saat mengubah {i>password-<i}nya, pengguna akan diblokir sehingga tidak dapat mengubahnya ke {i>password<i} yang lalu. |
3 |
pwdLockout |
Jika TRUE, menentukan mengunci pengguna ketika {i>password<i} mereka kedaluwarsa sehingga pengguna tidak bisa lagi {i>log in<i}. |
Salah |
pwdLockoutDuration |
Jumlah detik saat sandi tidak dapat digunakan untuk mengautentikasi pengguna karena terlalu banyak upaya masuk yang gagal secara berturut-turut. Dengan kata lain, ini adalah jangka waktu di mana akun pengguna akan tetap terkunci karena melebihi jumlah upaya login gagal berturut-turut yang ditetapkan oleh pwdMaxFailure . Jika pwdLockoutDuration disetel ke 0, akun pengguna akan tetap dikunci hingga administrator sistem membuka kuncinya anotasi. Lihat "Membuka Kunci Akun Pengguna" di bawah ini. Jika pwdLockoutDuration diatur ke >0, atribut mendefinisikan durasi di mana akun pengguna akan tetap terkunci. Setelah jangka waktu ini berlalu, akun pengguna akan otomatis tidak terkunci. Sebaiknya atribut ini ditetapkan ke nilai yang sama dengan pwdFailureCountInterval . |
300 |
pwdMaxAge |
Jumlah detik saat sandi pengguna (non-sysadmin) habis masa berlakunya. Nilai 0 berarti {i>password<i} tidak kedaluwarsa. Nilai default 2592000 setara dengan 30 hari dari seperti saat {i>password<i} dibuat. |
pengguna: 2592000 Admin sistem: 0 |
pwdMaxFailure |
Jumlah upaya masuk yang gagal secara berturut-turut setelah {i>password<i} tidak dapat digunakan untuk mengotentikasi pengguna ke direktori tersebut. |
3 |
pwdMinLength |
Menentukan jumlah karakter minimum yang diperlukan saat menetapkan sandi. |
8 |
Membuka Kunci Akun Pengguna
Akun pengguna mungkin dikunci karena atribut yang ditetapkan dalam kebijakan sandi. Seorang pengguna dengan peran Apigee sysadmin yang ditetapkan dapat menggunakan panggilan API berikut untuk membuka kunci menggunakan akun layanan. Ganti nilai dalam tanda kurung kurawal dengan nilai sebenarnya.
Untuk membuka akses ke pengguna:
/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}