Questa pagina è stata tradotta dall'API Cloud Translation.

Gestione del criterio password LDAP predefinito per la gestione delle API

Edge per Private Cloud v. 4.17.05

Il sistema Apigee utilizza OpenLDAP per autenticare gli utenti nell'ambiente di gestione delle API. OpenLDAP rende disponibile questa funzionalità dei criteri delle password LDAP.

Questa sezione descrive come configurare i criteri predefiniti per le password LDAP forniti. Utilizza questo criterio per le password per configurare varie opzioni di autenticazione delle password, ad esempio il numero di tentativi di accesso consecutivi non riusciti dopo i quali una password non può più essere utilizzata per autenticare un utente per la directory.

Questa sezione descrive inoltre come utilizzare un paio di API per sbloccare gli account utente che sono stati bloccati in base agli attributi configurati nel criterio delle password predefinito.

Configurazione del criterio per le password LDAP predefinito

Per configurare i criteri predefiniti per le password LDAP:

Connettiti al server LDAP utilizzando un client LDAP, come Apache Studio o ldapmodify. Per impostazione predefinita, il server OpenLDAP rimane in ascolto sulla porta 10389 del nodo OpenLDAP.

Per eseguire la connessione, specifica il DN Bind o l'utente di cn=manager,dc=apigee,dc=com e la password di OpenLDAP che hai impostato al momento dell'installazione di Edge.
Utilizza il client per accedere agli attributi dei criteri relativi alle password per:
- Utenti Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Amministratore di sistema perimetrale: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
Modifica i valori degli attributi dei criteri per le password come preferisci.
Salva la configurazione.

Attributi dei criteri predefiniti per le password LDAP

Attributo	Descrizione	Predefinita
pwdExpireWarning	Il numero massimo di secondi prima che una password scada, durante il quale verranno restituiti messaggi di avviso di scadenza a un utente che esegue l'autenticazione nella directory.	604800 (Equivalente a 7 giorni)
pwdFailureCountInterval	Numero di secondi dopo i quali i vecchi tentativi di associazione non riusciti consecutivi vengono eliminati definitivamente dal contatore degli errori. In altre parole, si tratta del numero di secondi dopo i quali viene reimpostato il numero di tentativi di accesso non riusciti consecutivi. Se pwdFailureCountInterval è impostato su 0, solo un'autenticazione riuscita può reimpostare il contatore. Se pwdFailureCountInterval è impostato su > 0, l'attributo definisce una durata dopo la quale il numero di tentativi di accesso non riusciti consecutivi viene reimpostato automaticamente, anche se non si è verificata alcuna autenticazione riuscita. Suggeriamo di impostare questo attributo sullo stesso valore dell'attributo pwdLockoutDuration.	300
pwdInHistory	Numero massimo di password utilizzate, o passate, per un utente che verranno archiviate nell'attributo pwdHistory. Quando si cambia la password, all'utente viene impedito di passare a una qualsiasi delle password precedenti.	3
pwdLockout	Se TRUE, specifica di bloccare un utente alla scadenza della password, in modo che l'utente non possa più accedere.	falso
pwdLockoutDuration	Numero di secondi durante i quali non è possibile utilizzare una password per autenticare l'utente a causa di troppi tentativi di accesso non riusciti consecutivi. In altre parole, si tratta del periodo di tempo durante il quale un account utente rimarrà bloccato a causa del superamento del numero di tentativi di accesso consecutivi non riusciti impostato dall'attributo pwdMaxFailure. Se pwdLockoutDuration è impostato su 0, l'account utente rimarrà bloccato finché un amministratore di sistema non lo sbloccherà. Vedi "Sblocco di un account utente" di seguito. Se pwdLockoutDuration è impostato su > 0, l'attributo definisce un periodo di tempo per il quale l'account utente rimarrà bloccato. Una volta trascorso questo periodo di tempo, l'account utente verrà sbloccato automaticamente. Ti consigliamo di impostare questo attributo sullo stesso valore dell'attributo pwdFailureCountInterval.	300
pwdMaxAge	Numero di secondi dopo i quali scade la password di un utente (non amministratore di sistema). Il valore 0 indica che le password non scadono. Il valore predefinito 2592000 corrisponde a 30 giorni dalla creazione della password.	utente: 2592000 amministratore di sistema: 0
pwdMaxFailure	Numero di tentativi di accesso non riusciti consecutivi dopo i quali non è possibile utilizzare una password per autenticare un utente alla directory.	3
pwdMinLength	Consente di specificare il numero minimo di caratteri richiesti per l'impostazione di una password.	8

Sblocco di un account utente

L'account di un utente potrebbe essere bloccato a causa degli attributi impostati nei criteri relativi alle password. Un utente con il ruolo Apigee sysadmin assegnato può utilizzare la seguente chiamata API per sbloccare l'account dell'utente. Sostituisci i valori tra parentesi graffe con valori effettivi.

Per sbloccare un utente:

/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}

Nota: per garantire che solo gli amministratori di sistema possano chiamare questa API, il percorso /users/*/status è incluso nella proprietà /users/*/status per il server di gestione:

> cd /opt/apigee/edge-management-server
> grep -ri "conf_security_rbac.restricted.resources" *

L'output contiene quanto segue:

token/default.properties:conf_security_rbac.restricted.resources=/environments,/environments/*,/environments/*/virtualhosts,/environments/*/virtualhosts/*,/pods,/environments/*/servers,/rebuildindex,/users/*/status