管理 API 管理的預設 LDAP 密碼政策

Private Cloud v. 4.16.09 版本

Apigee 系統會使用 OpenLDAP 在您的 API 管理環境中驗證使用者。 OpenLDAP 提供這項 LDAP 密碼政策功能。

本節說明如何設定已傳送的預設 LDAP 密碼政策。使用這份草稿 密碼政策,以設定各種密碼驗證選項,例如設定 也就是使用者連續 30 次都無法再使用該密碼來驗證 使用者上傳至目錄

本節也會說明如何透過幾個 API 解鎖目前已啟用的使用者帳戶 已根據預設密碼政策設定的屬性鎖定。

設定預設 LDAP 密碼 政策

如何設定預設的 LDAP 密碼政策:

  1. 使用 LDAP 用戶端 (例如 Apache Studio 或 ldapmodify) 連線至 LDAP 伺服器。變更者: 預設 OpenLDAP 伺服器會監聽 OpenLDAP 節點的通訊埠 10389。

    如要進行連線,請指定 cn=manager,dc=apigee,dc=com 的 Bind DN 或使用者,以及 您在安裝 Edge 時設定的 OpenLDAP 密碼。
  2. 請透過用戶端前往下列密碼政策屬性:
    • Edge 使用者:cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Edge sysadmin:cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. 視需要編輯密碼政策屬性值。
  4. 儲存設定。

預設 LDAP 密碼政策屬性

屬性

說明

預設

pwdExpireWarning

密碼到期前的秒數上限 驗證至目錄的使用者將傳回警告訊息。

604800

(相當於 7 天)

pwdFailureCountInterval

超過此秒數後,系統會從 失敗計數器

換句話說,這個數字代表連續計數的秒數 重設失敗的登入次數。

如果 pwdFailureCountInterval 設為 0, 只有成功驗證才能重設計數器。

如果 pwdFailureCountInterval 設為 >0,屬性會定義連續登入失敗次數後的持續時間 會自動重設,即使未成功驗證也是如此。

建議您將此屬性設為與 pwdLockoutDuration 相同值 屬性。

300

pwdInHistory

可將使用者密碼儲存在 pwdHistory 屬性。

使用者變更密碼後,就無法將密碼變更為自己的密碼 。

3

pwdLockout

如果為 TRUE,則指定 在密碼過期時鎖定使用者,防止使用者登入。

pwdLockoutDuration

因規定而無法使用密碼驗證使用者的秒數 連續登入失敗次數過多。

也就是說,使用者帳戶會保留這個時間長度 。 pwdMaxFailure 屬性。

如果 pwdLockoutDuration 如果設為 0,使用者帳戶將維持鎖定狀態,直到系統管理員解鎖 基礎架構

請參閱「解鎖使用者帳戶」。

如果 pwdLockoutDuration 設為 >0,屬性會定義使用者帳戶要保留多久 已鎖定。這段時間過後,使用者帳戶會自動經過 並保持解鎖狀態

建議將此屬性設為與 pwdFailureCountInterval 相同的值 屬性。

300

pwdMaxAge

使用者 (非 Sysadmin) 密碼到期的秒數。值為 0 代表密碼不會過期2592000 的預設值對應於 密碼的建立時間。

使用者:2592000

sysadmin:0

pwdMaxFailure

連續嘗試登入失敗的次數。超過該次數上限後,系統可能無法再使用密碼 驗證使用者存取目錄

3

pwdMinLength

指定設定密碼時所需的字元數下限。

8

解鎖使用者帳戶

使用者的帳戶可能會因密碼政策中設定的屬性而遭到鎖定。符合以下條件的使用者 獲派的 sysadmin Apigee 角色可以使用下列 API 呼叫來解鎖使用者的 讓他們使用服務帳戶將大括號中的值替換為實際值。

如何解鎖使用者:

/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password} 
敬上