Edge for Private Cloud גרסה 4.16.09
מערכת Apigee משתמשת ב-OpenLDAP כדי לאמת משתמשים בסביבת ניהול ה-API. התכונה OpenLDAP הופכת את הפונקציונליות של מדיניות הסיסמאות של LDAP לזמינה.
בקטע הזה מוסבר איך להגדיר את מדיניות ברירת המחדל לסיסמאות של LDAP. שימוש בטיוטה הזו למדיניות בנושא סיסמאות כדי להגדיר אפשרויות שונות לאימות סיסמאות, כמו מספר רצף של ניסיונות התחברות כושלים ולאחר מכן לא ניתן יהיה עוד להשתמש בסיסמה כדי לאמת לספרייה.
הקטע הזה גם מתאר איך להשתמש בכמה ממשקי API כדי לקבל גישה לחשבונות משתמשים נעולה בהתאם למאפיינים שהוגדרו במדיניות ברירת המחדל של הסיסמה.
הגדרה של סיסמת ברירת המחדל של LDAP מדיניות
כדי להגדיר את מדיניות ברירת המחדל של סיסמאות LDAP:
- התחבר לשרת ה-LDAP שלך באמצעות לקוח LDAP, כמו Apache Studio או ldapmodify. על ידי
שרת OpenLDAP שמוגדר כברירת מחדל מאזין ביציאה 10389 בצומת OpenLDAP.
כדי להתחבר, מציינים את ה-Bind DN או המשתמש של cn=manager,dc=apigee,dc=com ואת פתיחת הסיסמה שנבחרה בזמן התקנת Edge. - משתמשים בלקוח כדי לעבור למאפייני המדיניות בנושא סיסמה עבור:
- משתמשי Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Edge sysadmin: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- עורכים את ערכי המאפיינים של המדיניות בנושא סיסמה לפי הצורך.
- שומרים את ההגדרות האישיות.
מאפייני מדיניות סיסמאות שמוגדרים כברירת מחדל ב-LDAP
|
מאפיין |
תיאור |
ברירת מחדל |
|---|---|---|
|
pwdExpireWarning |
מספר השניות המקסימלי עד לפקיעת התוקף של הסיסמה הודעות אזהרה יוחזרו למשתמש שמאמת את הספרייה. |
604800 (שווה ערך ל-7 ימים) |
|
pwdFailureCountInterval |
מספר השניות שאחריהן ניסיונות כושלים ישנים שנכשלו נמחקים באופן סופי מפני כשלים. במילים אחרות, זהו מספר השניות שאחריהן המספר של ניסיונות התחברות שנכשלו יאופסו. אם הערך של pwdFailureCountInterval מוגדר ל-0, רק אימות מוצלח יכול לאפס את המונה. אם pwdFailureCountInterval מוגדר לערך גדול מ-0, המאפיין מגדיר משך זמן שאחריו יש כמה ניסיונות התחברות שנכשלו: מתבצע איפוס אוטומטי של ניסיונות, גם אם לא בוצע אימות בהצלחה. מומלץ להגדיר את המאפיין הזה עם אותו ערך שמוגדר ל-pwdLockoutDuration . |
300 |
|
pwdInHistory |
המספר המקסימלי של סיסמאות בשימוש או סיסמאות קודמות, שיישמרו pwdHistory. לאחר שינוי הסיסמה, המשתמש ייחסם ולא יוכל לשנות אותה לאחת מהן סיסמאות מהעבר. |
3 |
|
pwdLockout |
אם TRUE, מציין לנעול משתמש כשפג תוקף הסיסמה שלו, כך שהוא לא יכול יותר להתחבר. |
לא נכון |
|
pwdLockoutDuration |
מספר השניות שבמהלכן לא ניתן להשתמש בסיסמה כדי לאמת את המשתמש, יותר מדי ניסיונות התחברות כושלים רצופים. במילים אחרות, זהו משך הזמן שבמהלכו חשבון משתמש יישאר ננעלה בגלל חריגה ממספר ניסיונות ההתחברות הלא רציפים שהוגדרו על ידי pwdMaxFailure . אם הערך של pwdLockoutDuration מוגדר ל-0, חשבון המשתמש יישאר נעול עד שמנהל מערכת יבטל את הנעילה את זה. ראה "ביטול נעילה של חשבון משתמש" שלמטה. אם הערך של pwdLockoutDuration מוגדר כ->0, המאפיין מגדיר משך זמן שבו חשבון המשתמש יישאר נעול. לאחר פרק הזמן הזה, חשבון המשתמש יוגדר אוטומטית לא נעול. מומלץ להגדיר את המאפיין הזה עם אותו ערך שמוגדר ל-pwdFailureCountInterval . |
300 |
|
pwdMaxAge |
מספר השניות שאחריהן פג התוקף של סיסמת משתמש (שאינו אדמין). הערך 0 כלומר, אין תאריך תפוגה של סיסמאות. ערך ברירת המחדל של 2592,000 תואם ל-30 ימים מ- השעה שבה נוצרה הסיסמה. |
user: 2592000 sysadmin: 0 |
|
pwdMaxFailure |
מספר ניסיונות ההתחברות שנכשלו ולאחר מכן לא ניתן היה להשתמש בסיסמה כדי לאמת משתמש בספרייה. |
3 |
|
pwdMinLength |
מציינת את מספר התווים המינימלי שנדרש כשמגדירים סיסמה. |
8 |
ביטול נעילה של חשבון משתמש
חשבון של משתמש עשוי להינעל עקב מאפיינים שהוגדרו במדיניות הסיסמה. משתמש עם תפקיד ה-sysadmin Apigee יכול להשתמש בקריאה הבאה ל-API כדי לבטל את הנעילה של חשבון. מחליפים את הערכים בסוגריים מסולסלים בערכים בפועל.
כדי לבטל נעילה של משתמש:
/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}