管理 API 管理的默认 LDAP 密码政策

适用于私有云的 Edge v. 4.16.09

Apigee 系统使用 OpenLDAP 在您的 API 管理环境中对用户进行身份验证。 OpenLDAP 提供此 LDAP 密码政策功能。

本部分介绍如何配置递送的默认 LDAP 密码政策。使用此 密码政策,用于配置各种密码身份验证选项,例如 次登录失败,达到此上限后,就不能再使用密码验证 将用户添加到目录。

本部分还介绍了如何使用若干 API 来解锁 根据默认密码政策中配置的属性锁定密码。

配置默认 LDAP 密码 政策

要配置默认 LDAP 密码政策,请执行以下操作:

  1. 使用 LDAP 客户端(如 Apache Studio 或 ldapmodify)连接到 LDAP 服务器。修改者 默认 OpenLDAP 服务器会监听 OpenLDAP 节点上的端口 10389。

    如需连接,请指定 cn=manager,dc=apigee,dc=com 的 Bind DN 或用户,以及 您在安装 Edge 时设置的 OpenLDAP 密码。
  2. 使用客户端前往以下项的密码政策属性: <ph type="x-smartling-placeholder">
      </ph>
    • Edge 用户:cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Edge 系统管理员:cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. 根据需要修改密码政策属性值。
  4. 保存配置。

默认 LDAP 密码政策属性

属性

说明

默认

pwdExpireWarning

密码到期前的最多秒数 系统会向对目录进行身份验证的用户返回警告消息。

604800

(相当于 7 天)

pwdFailureCountInterval

间隔的秒数后,之前连续失败的绑定尝试会从 失败计数器。

换言之,这指的是连续的 会重置失败的登录尝试。

如果 pwdFailureCountInterval 设置为 0, 只有成功的身份验证才能重置计数器。

如果 pwdFailureCountInterval 设置为 大于 0,则此属性会定义一个时长,超过此时长后,系统会计算连续登录失败次数 即使未成功进行身份验证,系统也会自动重置

我们建议将此属性设置为与 pwdLockoutDuration 相同的值。 属性。

300

pwdInHistory

将存储在 pwdHistory 属性。

更改密码时,用户将无法更改自己的任何密码 密码。

3

pwdLockout

如果为 TRUE,则指定为 在用户密码到期时将其锁定,使用户无法再登录。

错误

pwdLockoutDuration

在指定期限内无法使用密码验证用户身份的秒数 导致连续失败的登录尝试次数过多。

换言之,就是用户账号将保持有效状态的时长 因为超出 pwdMaxFailure 属性。

如果 pwdLockoutDuration 设为 0,则在系统管理员解锁前,用户账号将保持锁定状态 。

请参阅“解锁用户账号”。

如果 pwdLockoutDuration 设置为 >0,则该属性会定义用户账号将保持 已锁定。此时间段过后,用户账号将自动 已解锁。

我们建议将此属性设置为与 pwdFailureCountInterval 相同的值。 属性。

300

pwdMaxAge

用户(非系统管理员)密码过期的秒数。值为 0 表示密码不会过期。默认值 2592000 对应 30 天 创建密码。

用户:2592000

系统管理员:0

pwdMaxFailure

连续失败的登录尝试次数,达到此次数后就无法再使用密码 验证用户身份到目录

3

pwdMinLength

指定设置密码时要求的最少字符数。

8

解锁用户账号

用户的账号可能会因密码政策中设置的属性而被锁定。用户 分配的系统管理员 Apigee 角色可以使用以下 API 调用来解锁用户的 。将大括号中的值替换为实际值。

如需解锁用户,请执行以下操作

/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}