Standardmäßige LDAP-Passwortrichtlinie für die API-Verwaltung

Edge for Private Cloud Version 4.17.01

Das Apigee-System verwendet OpenLDAP, um Nutzer in Ihrer API-Verwaltungsumgebung zu authentifizieren. OpenLDAP stellt diese Funktionalität der LDAP-Passwortrichtlinie zur Verfügung.

In diesem Abschnitt wird beschrieben, wie die übermittelte LDAP-Standardpasswort-Richtlinie konfiguriert wird. Verwenden Passwortrichtlinie, um verschiedene Optionen für die Passwortauthentifizierung zu konfigurieren, z. B. die Anzahl der aufeinanderfolgende fehlgeschlagene Anmeldeversuche, nach denen kein Passwort mehr zur Authentifizierung eines Nutzer zum Verzeichnis hinzufügen.

In diesem Abschnitt wird auch beschrieben, wie Sie mithilfe einiger APIs Nutzerkonten entsperren, die gemäß den in der Standard-Passwortrichtlinie konfigurierten Attributen gesperrt.

Konfigurieren des Standard-LDAP-Passworts Richtlinie

So konfigurieren Sie die standardmäßige LDAP-Passwortrichtlinie:

  1. Stellen Sie mithilfe eines LDAP-Clients wie Apache Studio oder ldapmodify eine Verbindung zu Ihrem LDAP-Server her. Von Der standardmäßige OpenLDAP-Server überwacht Port 10389 auf dem OpenLDAP-Knoten.

    Um eine Verbindung herzustellen, geben Sie den Bind-DN oder den Benutzer von cn=manager,dc=apigee,dc=com an, und den OpenLDAP-Passwort, das Sie bei der Edge-Installation festgelegt haben.
  2. Verwenden Sie den Client, um die Passwortrichtlinienattribute für Folgendes aufzurufen: <ph type="x-smartling-placeholder">
      </ph>
    • Edge-Benutzer: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Edge-Systemadministrator: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. Bearbeiten Sie die Attributwerte der Passwortrichtlinie nach Bedarf.
  4. Speichern Sie die Konfiguration.

Attribute der LDAP-Standardpasswortrichtlinie

Attribut

Beschreibung

Standard

pwdExpireWarning

Die maximale Anzahl von Sekunden, bevor ein Passwort abläuft. Warnungen werden an einen Nutzer zurückgegeben, der sich beim Verzeichnis authentifiziert.

604800

(entspricht 7 Tagen)

pwdFailureCountInterval

Anzahl der Sekunden, nach denen alte, aufeinanderfolgende fehlgeschlagene Bindungsversuche dauerhaft aus dem Fehlerzähler.

Mit anderen Worten, dies ist die Anzahl der Sekunden, nach denen die Anzahl der aufeinanderfolgenden fehlgeschlagene Anmeldeversuche zurückgesetzt.

Wenn pwdFailureCountInterval auf 0 gesetzt ist, gibt nur eine erfolgreiche Authentifizierung kann den Zähler zurücksetzen.

Wenn pwdFailureCountInterval auf > 0 definiert, definiert das Attribut einen Zeitraum, nach dem die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldungen gezählt wird. wird automatisch zurückgesetzt, auch wenn keine Authentifizierung erfolgreich war.

Es empfiehlt sich, dieses Attribut auf denselben Wert wie pwdLockoutDuration festzulegen .

300

pwdInHistory

Maximale Anzahl der verwendeten oder vergangenen Passwörter für einen Nutzer, die im pwdHistory-Attribut enthält.

Wenn der Nutzer sein Passwort ändert, kann er es nicht in eines ihrer eigenen ändern frühere Passwörter verwenden.

3

pwdLockout

Wenn TRUE, gibt an, Sie können einen Nutzer sperren, wenn sein Passwort abläuft, damit er sich nicht mehr anmelden kann.

Falsch

pwdLockoutDuration

Anzahl der Sekunden, in denen kein Passwort zur Authentifizierung des fälligen Nutzers verwendet werden kann zu viele fehlgeschlagene Log-in-Versuche hintereinander.

Mit anderen Worten, dies ist der Zeitraum, in dem ein Nutzerkonto gesperrt, da die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche überschritten wurde, die vom pwdMaxFailure .

Wenn pwdLockoutDuration auf 0 gesetzt ist, bleibt das Nutzerkonto gesperrt, bis ein Systemadministrator die Entsperrung aufhebt. .

Siehe "Entsperren eines Nutzerkontos" unten.

Wenn pwdLockoutDuration auf >0 gesetzt ist, definiert das Attribut eine Dauer, für die das Nutzerkonto verbleibt. gesperrt. Nach Ablauf dieses Zeitraums wird das Nutzerkonto automatisch entriegelt.

Es empfiehlt sich, dieses Attribut auf denselben Wert wie pwdFailureCountInterval festzulegen. .

300

pwdMaxAge

Anzahl der Sekunden, nach denen das Passwort eines Nutzers (kein Systemadministrator) abläuft. Ein Wert von 0 bedeutet, dass Passwörter nicht ablaufen. Der Standardwert von 2592.000 entspricht 30 Tagen Zeitpunkt der Passworterstellung.

Nutzer: 2592000

Systemadmin: 0

pwdMaxFailure

Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche, nach denen kein Passwort mehr verwendet werden darf. einen Nutzer beim Verzeichnis zu authentifizieren.

3

pwdMinLength

Gibt die Mindestanzahl von Zeichen an, die beim Festlegen eines Passworts erforderlich ist.

8

Nutzerkonto entsperren

Das Konto eines Nutzers kann aufgrund von Attributen, die in der Passwortrichtlinie festgelegt sind, gesperrt sein. Ein Nutzer mit kann die zugewiesene Apigee-Rolle „sysadmin“ mit dem folgenden API-Aufruf die Berechtigung des Nutzers entsperren Konto. Ersetzen Sie Werte in geschweiften Klammern durch tatsächliche Werte.

So entsperren Sie einen Nutzer:

/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password} 
<ph type="x-smartling-placeholder">