Edge untuk Private Cloud v. 4.17.05
Sistem Apigee menggunakan OpenLDAP untuk mengautentikasi pengguna di lingkungan pengelolaan API Anda. OpenLDAP menyediakan fungsi kebijakan sandi LDAP ini.
Bagian ini menjelaskan cara mengonfigurasi kebijakan sandi LDAP default yang dikirimkan. Gunakan kebijakan sandi ini untuk mengonfigurasi berbagai opsi autentikasi sandi, seperti jumlah upaya login yang gagal berturut-turut, yang setelah itu sandi tidak dapat lagi digunakan untuk mengautentikasi pengguna ke direktori.
Bagian ini juga menjelaskan cara menggunakan beberapa API untuk membuka kunci akun pengguna yang telah dikunci berdasarkan atribut yang dikonfigurasi dalam kebijakan sandi default.
Mengonfigurasi Kebijakan Sandi LDAP Default
Untuk mengonfigurasi kebijakan sandi LDAP default:
- Hubungkan ke server LDAP menggunakan klien LDAP, seperti Apache Studio atau ldapmodify. Secara default, server OpenLDAP memproses port 10389 di node OpenLDAP.
Untuk menghubungkan, tentukan Bind DN atau pengguna cn=manager,dc=apigee,dc=com dan sandi OpenLDAP yang Anda tetapkan pada saat penginstalan Edge. - Gunakan klien untuk membuka atribut kebijakan sandi untuk:
- Pengguna edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Edge sysadmin: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Edit nilai atribut kebijakan sandi sesuai keinginan.
- Simpan konfigurasi.
Atribut Kebijakan Sandi LDAP Default
|
Atribut |
Deskripsi |
Default |
|---|---|---|
|
pwdExpireWarning |
Jumlah detik maksimum sebelum sandi akan habis masa berlakunya, sehingga pesan peringatan habis masa berlaku akan ditampilkan kepada pengguna yang melakukan autentikasi ke direktori. |
604800 (Setara dengan 7 hari) |
|
pwdFailureCountInterval |
Jumlah detik saat upaya pengikatan yang gagal dan lama berturut-turut dihapus dari penghitung kegagalan. Dengan kata lain, ini adalah jumlah detik setelah jumlah upaya login yang gagal berturut-turut direset. Jika pwdFailureCountInterval disetel ke 0, hanya autentikasi yang berhasil yang dapat mereset penghitung. Jika pwdFailureCountInterval ditetapkan ke >0, atribut akan menentukan durasi saat jumlah upaya login yang gagal berturut-turut akan direset secara otomatis, meskipun tidak ada autentikasi yang berhasil. Sebaiknya atribut ini ditetapkan ke nilai yang sama dengan atribut pwdLockoutDuration. |
300 |
|
pwdInHistory |
Jumlah maksimum sandi yang digunakan, atau lama, untuk pengguna yang akan disimpan dalam atribut pwdHistory. Saat mengubah sandi, pengguna akan diblokir agar tidak mengubah sandinya ke sandi sebelumnya. |
3 |
|
pwdLockout |
Jika TRUE, menentukan untuk mengunci pengguna saat masa berlaku sandinya habis sehingga pengguna tidak dapat login lagi. |
Salah |
|
pwdLockoutDuration |
Jumlah detik saat sandi tidak dapat digunakan untuk mengautentikasi pengguna karena terlalu banyak upaya login yang gagal berturut-turut. Dengan kata lain, ini adalah jangka waktu saat akun pengguna akan tetap terkunci karena melebihi jumlah upaya login yang gagal berturut-turut yang ditetapkan oleh atribut pwdMaxFailure. Jika pwdLockoutDuration disetel ke 0, akun pengguna akan tetap dikunci hingga administrator sistem membuka kuncinya. Lihat "Membuka Akun Pengguna" di bawah. Jika pwdLockoutDuration ditetapkan ke >0, atribut menentukan durasi selama akun pengguna tetap terkunci. Setelah jangka waktu ini berlalu, akun pengguna akan terbuka secara otomatis. Sebaiknya atribut ini disetel ke nilai yang sama dengan atribut pwdFailureCountInterval. |
300 |
|
pwdMaxAge |
Jumlah detik setelah sandi pengguna (non-sysadmin) berakhir. Nilai 0 berarti sandi tidak akan habis masa berlakunya. Nilai default 2592000 berkaitan dengan 30 hari sejak sandi dibuat. |
pengguna: 2592000 {i>sysadmin<i}: 0 |
|
pwdMaxFailure |
Jumlah upaya login yang gagal berturut-turut dan sandi tidak dapat digunakan untuk mengautentikasi pengguna ke direktori. |
3 |
|
pwdMinLength |
Menentukan jumlah karakter minimum yang diperlukan saat menyetel sandi. |
8 |
Membuka Akun Pengguna
Akun pengguna mungkin dikunci karena atribut yang ditetapkan dalam kebijakan sandi. Pengguna dengan peran sysadmin Apigee yang ditetapkan dapat menggunakan panggilan API berikut untuk membuka kunci akun pengguna. Ganti nilai dalam tanda kurung kurawal dengan nilai sebenarnya.
Untuk mengakses pengguna:
/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}