Edge for Private Cloud نسخه 4.17.05
سیستم Apigee از OpenLDAP برای احراز هویت کاربران در محیط مدیریت API شما استفاده می کند. OpenLDAP این قابلیت خط مشی رمز عبور LDAP را در دسترس قرار می دهد.
این بخش نحوه پیکربندی خط مشی رمز عبور پیش فرض LDAP تحویل داده شده را توضیح می دهد. از این خط مشی رمز عبور برای پیکربندی گزینه های مختلف احراز هویت رمز عبور استفاده کنید، مانند تعداد تلاش های متوالی برای ورود ناموفق که پس از آن دیگر نمی توان از رمز عبور برای احراز هویت کاربر در فهرست استفاده کرد.
این بخش همچنین نحوه استفاده از چند API را برای باز کردن قفل حساب های کاربری که طبق ویژگی های پیکربندی شده در خط مشی رمز عبور پیش فرض قفل شده اند، توضیح می دهد.
پیکربندی خط مشی رمز عبور پیش فرض LDAP
برای پیکربندی خط مشی رمز عبور پیش فرض LDAP:
- با استفاده از یک کلاینت LDAP مانند Apache Studio یا ldapmodify به سرور LDAP خود متصل شوید. به طور پیش فرض سرور OpenLDAP به پورت 10389 در گره OpenLDAP گوش می دهد.
برای اتصال، Bind DN یا کاربر cn=manager,dc=apigee,dc=com و رمز عبور OpenLDAP را که در زمان نصب Edge تنظیم کردید، مشخص کنید. - از مشتری برای پیمایش به ویژگی های خط مشی رمز عبور برای موارد زیر استفاده کنید:
- کاربران Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Edge sysadmin: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- مقادیر مشخصه سیاست رمز عبور را به دلخواه ویرایش کنید.
- پیکربندی را ذخیره کنید.
ویژگی های خط مشی رمز عبور پیش فرض LDAP
صفت | توضیحات | پیش فرض |
---|---|---|
pwdExpireWarning | حداکثر تعداد ثانیه قبل از انقضای رمز عبور است که پیام های هشدار انقضا به کاربری که در حال احراز هویت به دایرکتوری است بازگردانده می شود. | 604800 (معادل 7 روز) |
pwdFailureCountInterval | تعداد ثانیههایی که پس از آن تلاشهای پیوند ناموفق قدیمی قدیمی از شمارنده شکست پاک میشوند. به عبارت دیگر، این تعداد ثانیههایی است که پس از آن تعداد تلاشهای ناموفق متوالی برای ورود به سیستم بازنشانی میشود. اگر pwdFailureCountInterval روی 0 تنظیم شود، فقط یک احراز هویت موفق می تواند شمارنده را بازنشانی کند. اگر pwdFailureCountInterval روی >0 تنظیم شود، مشخصه مدت زمانی را مشخص می کند که پس از آن تعداد تلاش های متوالی ناموفق برای ورود به سیستم به طور خودکار بازنشانی می شود، حتی اگر احراز هویت موفقیت آمیزی انجام نشده باشد. ما پیشنهاد می کنیم که این ویژگی با مقدار مشخصه pwdLockoutDuration تنظیم شود. | 300 |
pwdInHistory | حداکثر تعداد رمزهای عبور استفاده شده یا گذشته برای یک کاربر که در ویژگی pwdHistory ذخیره می شود. هنگام تغییر رمز عبور، کاربر از تغییر آن به هر یک از رمزهای عبور قبلی خود مسدود می شود. | 3 |
pwdLockout | اگر TRUE باشد، مشخص میکند که پس از انقضای رمز عبور کاربر قفل شود تا کاربر دیگر نتواند به سیستم وارد شود. | نادرست |
pwdLockoutDuration | تعداد ثانیههایی که به دلیل تلاشهای متوالی ناموفق برای ورود به سیستم، نمیتوان از رمز عبور برای احراز هویت کاربر استفاده کرد. به عبارت دیگر، این مدت زمانی است که در طی آن یک حساب کاربری به دلیل بیش از تعداد تلاشهای ناموفق متوالی برای ورود به سیستم توسط ویژگی pwdMaxFailure قفل میشود. اگر pwdLockoutDuration روی 0 تنظیم شود، حساب کاربری قفل خواهد ماند تا زمانی که مدیر سیستم آن را باز کند. به «باز کردن قفل حساب کاربری» در زیر مراجعه کنید. اگر pwdLockoutDuration روی > 0 تنظیم شود، مشخصه مدت زمانی را تعریف می کند که حساب کاربری در آن قفل باقی می ماند. پس از سپری شدن این بازه زمانی، قفل حساب کاربری به طور خودکار باز می شود. ما پیشنهاد می کنیم که این ویژگی با مقدار مشخصه pwdFailureCountInterval یکسان باشد. | 300 |
pwdMaxAge | تعداد ثانیه هایی که پس از آن یک رمز عبور کاربری (غیر sysadmin) منقضی می شود. مقدار 0 به این معنی است که رمزهای عبور منقضی نمی شوند. مقدار پیش فرض 2592000 مربوط به 30 روز از زمان ایجاد رمز عبور است. | کاربر: 2592000 sysadmin: 0 |
pwdMaxFailure | تعداد تلاشهای متوالی ناموفق برای ورود به سیستم که پس از آن ممکن است از رمز عبور برای احراز هویت کاربر در فهرست استفاده نشود. | 3 |
pwdMinLength | حداقل تعداد کاراکترهای مورد نیاز هنگام تنظیم رمز عبور را مشخص می کند. | 8 |
باز کردن قفل حساب کاربری
حساب کاربری ممکن است به دلیل ویژگی های تعیین شده در خط مشی رمز عبور قفل شود. کاربری با نقش sysadmin Apigee اختصاص داده شده میتواند از تماس API زیر برای باز کردن قفل حساب کاربر استفاده کند. مقادیر موجود در بریس های فرفری را با مقادیر واقعی جایگزین کنید.
برای باز کردن قفل کاربر:
/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}