Edge for Private Cloud גרסה 4.17.05
מערכת Apigee משתמשת ב-OpenLDAP כדי לאמת משתמשים בסביבת הניהול של ממשק ה-API. הפונקציונליות של מדיניות הסיסמה של LDAP זמינה על ידי OpenLDAP.
בקטע הזה מוסבר איך להגדיר את מדיניות ברירת המחדל בנושא סיסמאות LDAP. צריך להשתמש במדיניות הזו של סיסמה כדי להגדיר אפשרויות שונות לאימות סיסמאות. למשל, מספר ניסיונות ההתחברות הכושלים הרצופים שאחריהם אי אפשר יותר להשתמש בסיסמה כדי לאמת משתמשים בספרייה.
בקטע הזה מוסבר גם איך להשתמש בכמה ממשקי API כדי לבטל את הנעילה של חשבונות משתמשים שננעלו בהתאם למאפיינים שהוגדרו במדיניות הסיסמאות המוגדרת כברירת מחדל.
הגדרת מדיניות ברירת המחדל לסיסמאות של LDAP
כדי להגדיר את מדיניות ברירת המחדל לסיסמאות של LDAP:
- התחבר לשרת ה-LDAP שלך באמצעות לקוח LDAP, כמו Apache Studio או ldapmodify. כברירת מחדל, שרת OpenLDAP מאזין ביציאה 10389 בצומת OpenLDAP.
כדי להתחבר, מציינים את ה-Binnd DN או את המשתמש של cn=manager,dc=apigee,dc=com ואת סיסמת OpenLDAP שהגדרתם בזמן ההתקנה של Edge. - משתמשים בלקוח כדי לעבור למאפיינים של מדיניות הסיסמאות של:
- משתמשי קצה: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Edge sysadmin: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- עורכים את ערכי המאפיין של מדיניות הסיסמאות לפי הצורך.
- שומרים את התצורה.
מאפייני ברירת המחדל של מדיניות הסיסמאות של LDAP
מאפיין |
תיאור |
ברירת מחדל |
---|---|---|
pwdExpireWarning |
מספר השניות המקסימלי לפני שתוקף הסיסמה יפוג. הודעות אזהרה לגבי תפוגת התוקף יוחזרו למשתמש שמבצע אימות בספרייה. |
604800 (שווה ל-7 ימים) |
pwdFailureCountInterval |
מספר השניות שאחריהן ניסיונות קישור כושלים רצופים נמחקות לצמיתות ממונה הכישלונות. במילים אחרות, זהו מספר השניות שאחריהן מתבצע איפוס של מספר ניסיונות ההתחברות שנכשלו. אם הערך של pwdFailureCountInterval הוא 0, רק אימות מוצלח יכול לאפס את המונה. אם הערך של pwdFailureCountInterval הוא >0, המאפיין מגדיר משך זמן שאחריו מתאפסת באופן אוטומטי המספר של ניסיונות ההתחברות הכושלים הרציפים, גם אם לא בוצע אימות בהצלחה. מומלץ להגדיר את המאפיין הזה עם אותו ערך של המאפיין pwdLockoutDuration. |
300 |
pwdInHistory |
המספר המקסימלי של סיסמאות בשימוש או בעבר של משתמש שיאוחסן במאפיין pwdHistory. לאחר שינוי הסיסמה, המשתמש ייחסם ולא יוכל לשנות אותה לאחת מהסיסמאות הקודמות שלה. |
3 |
pwdLockout |
אם השדה TRUE מציין שהמשתמש חסום, כשתוקף הסיסמה שלו יפוג, הוא לא יוכל להתחבר יותר. |
לא נכון |
pwdLockoutDuration |
מספר השניות שבהן לא ניתן להשתמש בסיסמה לאימות המשתמש בגלל יותר מדי ניסיונות התחברות כושלים רצופים. במילים אחרות, זהו פרק הזמן שבמהלכו חשבון משתמש יישאר נעול, עקב מספר ניסיונות התחברות כושלים רצופים שהוגדר במאפיין pwdMaxFailure. אם הערך של pwdLockoutDuration הוא 0, חשבון המשתמש יישאר נעול עד שמנהל המערכת יבטל את הנעילה שלו. ראו בהמשך "ביטול נעילה של חשבון משתמש". אם הערך של pwdLockoutDuration הוא >0, המאפיין מגדיר משך זמן שבו חשבון המשתמש יישאר נעול. בתום פרק הזמן הזה, הנעילה של חשבון המשתמש תבוטל באופן אוטומטי. מומלץ להגדיר את המאפיין הזה עם ערך זהה לזה של המאפיין pwdFailureCountInterval. |
300 |
pwdMaxAge |
מספר השניות שאחריהן תפוג הסיסמה של משתמש (שאינו sysadmin). אם הערך הוא 0, התוקף של הסיסמאות לא פג. ערך ברירת המחדל של 2592,000 תואם ל-30 ימים ממועד יצירת הסיסמה. |
משתמש: 2592000 sysadmin: 0 |
pwdMaxFailure |
מספר ניסיונות התחברות כושלים רצופים, שאחריהם לא ניתן להשתמש בסיסמה כדי לאמת משתמש בספרייה. |
3 |
pwdMinLength |
מציין את מספר התווים המינימלי שנדרש במהלך הגדרת סיסמה. |
8 |
ביטול הנעילה של חשבון משתמש
יכול להיות שחשבון של משתמש יינעל בגלל מאפיינים שמוגדרים במדיניות הסיסמאות. משתמש שהוקצה לו התפקיד sysadmin Apigee יכול להשתמש בקריאה הבאה ל-API כדי לבטל את נעילת החשבון של המשתמש. החלפת הערכים בסוגריים מסולסלים בערכים ממשיים.
כדי לבטל את הנעילה של משתמש:
/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}