ניהול מדיניות ברירת המחדל של סיסמאות LDAP לניהול API

Edge for Private Cloud גרסה 4.17.05

מערכת Apigee משתמשת ב-OpenLDAP כדי לאמת משתמשים בסביבת ניהול ה-API. התכונה OpenLDAP הופכת את הפונקציונליות של מדיניות הסיסמאות של LDAP לזמינה.

בקטע הזה מוסבר איך להגדיר את מדיניות ברירת המחדל לסיסמאות של LDAP. שימוש בטיוטה הזו למדיניות בנושא סיסמאות כדי להגדיר אפשרויות שונות לאימות סיסמאות, כמו מספר רצף של ניסיונות התחברות כושלים ולאחר מכן לא ניתן יהיה עוד להשתמש בסיסמה כדי לאמת לספרייה.

הקטע הזה גם מתאר איך להשתמש בכמה ממשקי API כדי לקבל גישה לחשבונות משתמשים נעולה בהתאם למאפיינים שהוגדרו במדיניות ברירת המחדל של הסיסמה.

הגדרה של סיסמת ברירת המחדל של LDAP מדיניות

כדי להגדיר את מדיניות ברירת המחדל של סיסמאות LDAP:

  1. התחבר לשרת ה-LDAP שלך באמצעות לקוח LDAP, כמו Apache Studio או ldapmodify. על ידי שרת OpenLDAP שמוגדר כברירת מחדל מאזין ביציאה 10389 בצומת OpenLDAP.

    כדי להתחבר, מציינים את ה-Bind DN או המשתמש של cn=manager,dc=apigee,dc=com ואת פתיחת הסיסמה שנבחרה בזמן התקנת Edge.
  2. משתמשים בלקוח כדי לעבור למאפייני המדיניות בנושא סיסמה עבור:
    • משתמשי Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Edge sysadmin: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. עורכים את ערכי המאפיינים של המדיניות בנושא סיסמה לפי הצורך.
  4. שומרים את ההגדרות האישיות.

מאפייני מדיניות סיסמאות שמוגדרים כברירת מחדל ב-LDAP

מאפיין

תיאור

ברירת מחדל

pwdExpireWarning

מספר השניות המקסימלי עד לפקיעת התוקף של הסיסמה הודעות אזהרה יוחזרו למשתמש שמאמת את הספרייה.

604800

(שווה ערך ל-7 ימים)

pwdFailureCountInterval

מספר השניות שאחריהן ניסיונות כושלים ישנים שנכשלו נמחקים באופן סופי מפני כשלים.

במילים אחרות, זהו מספר השניות שאחריהן המספר של ניסיונות התחברות שנכשלו יאופסו.

אם הערך של pwdFailureCountInterval מוגדר ל-0, רק אימות מוצלח יכול לאפס את המונה.

אם pwdFailureCountInterval מוגדר לערך גדול מ-0, המאפיין מגדיר משך זמן שאחריו יש כמה ניסיונות התחברות שנכשלו: מתבצע איפוס אוטומטי של ניסיונות, גם אם לא בוצע אימות בהצלחה.

מומלץ להגדיר את המאפיין הזה עם אותו ערך שמוגדר ל-pwdLockoutDuration .

300

pwdInHistory

המספר המקסימלי של סיסמאות בשימוש או סיסמאות קודמות, שיישמרו pwdHistory.

לאחר שינוי הסיסמה, המשתמש ייחסם ולא יוכל לשנות אותה לאחת מהן סיסמאות מהעבר.

3

pwdLockout

אם TRUE, מציין לנעול משתמש כשפג תוקף הסיסמה שלו, כך שהוא לא יכול יותר להתחבר.

לא נכון

pwdLockoutDuration

מספר השניות שבמהלכן לא ניתן להשתמש בסיסמה כדי לאמת את המשתמש, יותר מדי ניסיונות התחברות כושלים רצופים.

במילים אחרות, זהו משך הזמן שבמהלכו חשבון משתמש יישאר ננעלה בגלל חריגה ממספר ניסיונות ההתחברות הלא רציפים שהוגדרו על ידי pwdMaxFailure .

אם הערך של pwdLockoutDuration מוגדר ל-0, חשבון המשתמש יישאר נעול עד שמנהל מערכת יבטל את הנעילה את זה.

ראה "ביטול נעילה של חשבון משתמש" שלמטה.

אם הערך של pwdLockoutDuration מוגדר כ->0, המאפיין מגדיר משך זמן שבו חשבון המשתמש יישאר נעול. לאחר פרק הזמן הזה, חשבון המשתמש יוגדר אוטומטית לא נעול.

מומלץ להגדיר את המאפיין הזה עם אותו ערך שמוגדר ל-pwdFailureCountInterval .

300

pwdMaxAge

מספר השניות שאחריהן פג התוקף של סיסמת משתמש (שאינו אדמין). הערך 0 כלומר, אין תאריך תפוגה של סיסמאות. ערך ברירת המחדל של 2592,000 תואם ל-30 ימים מ- השעה שבה נוצרה הסיסמה.

user: 2592000

sysadmin: 0

pwdMaxFailure

מספר ניסיונות ההתחברות שנכשלו ולאחר מכן לא ניתן היה להשתמש בסיסמה כדי לאמת משתמש בספרייה.

3

pwdMinLength

מציינת את מספר התווים המינימלי שנדרש כשמגדירים סיסמה.

8

ביטול נעילה של חשבון משתמש

חשבון של משתמש עשוי להינעל עקב מאפיינים שהוגדרו במדיניות הסיסמה. משתמש עם תפקיד ה-sysadmin Apigee יכול להשתמש בקריאה הבאה ל-API כדי לבטל את הנעילה של חשבון. מחליפים את הערכים בסוגריים מסולסלים בערכים ממשיים.

כדי לבטל נעילה של משתמש:

/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}