Edge for Private Cloud w wersji 4.17.05
System Apigee używa protokołu OpenLDAP do uwierzytelniania użytkowników w środowisku zarządzania interfejsami API. OpenLDAP udostępnia tę funkcję zasad dotyczących haseł LDAP.
W tej sekcji opisaliśmy, jak skonfigurować dostarczone domyślne zasady haseł LDAP. Użyj tej zasad dotyczących haseł do konfigurowania różnych opcji uwierzytelniania haseł, takich jak liczba kolejnych nieudanych próbach logowania, po których użytkownik nie może uwierzytelnić swojego konta przy użyciu hasła. do katalogu.
W tej sekcji opisujemy też, jak przy użyciu interfejsów API odblokowywać konta użytkowników, które zostały jest zablokowana zgodnie z atrybutami skonfigurowanymi w domyślnych zasadach dotyczących haseł.
Konfigurowanie domyślnego hasła LDAP Zasady
Aby skonfigurować domyślne zasady haseł LDAP:
- Połącz się z serwerem LDAP przy użyciu klienta LDAP, takiego jak Apache Studio lub ldapmodify. Według
domyślny serwer OpenLDAP nasłuchuje na porcie 10389 w węźle OpenLDAP.
Aby nawiązać połączenie, podaj nazwę wyróżniającą powiązania lub użytkownika domeny cn=manager,dc=apigee,dc=com oraz Hasło OpenLDAP ustawione podczas instalacji Edge. - Za pomocą klienta przejdź do atrybutów zasad dotyczących haseł dla:
- Użytkownicy Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Edge sysadmin: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Edytuj wartości atrybutów zasad dotyczących haseł zgodnie z potrzebami.
- Zapisz konfigurację.
Domyślne atrybuty zasad LDAP dotyczących haseł
Atrybut |
Opis |
Domyślnie |
---|---|---|
pwdExpireWarning |
Maksymalny czas wygaśnięcia hasła w sekundach użytkownikom, którzy uwierzytelniają się w katalogu, zwracane są komunikaty ostrzegawcze. |
604800 (Odpowiednik 7 dni) |
pwdFailureCountInterval |
Liczba sekund, po których stare kolejne nieudane próby powiązania są trwale usuwane z licznika błędów. Innymi słowy, jest to liczba sekund, po których następuje liczba kolejnych nieudane próby logowania są resetowane. Jeśli parametr pwdFailureCountInterval ma wartość 0, licznik będzie można zresetować tylko pomyślnie po pomyślnym uwierzytelnieniu. Jeśli pwdFailureCountInterval ma wartość >0, atrybut określa czas, po którym liczba kolejnych nieudanych prób logowania jest automatycznie resetowany, nawet jeśli nie doszło do żadnego udanego uwierzytelnienia. Zalecamy ustawienie tego atrybutu na taką samą wartość jak atrybut pwdLockoutDuration . |
300 |
pwdInHistory |
Maksymalna liczba używanych lub wcześniejszych haseł użytkownika, które będą przechowywane w pwdHistory. Gdy użytkownik zmieni swoje hasło, nie będzie mógł go zmienić na dowolne swoje wcześniejszych haseł. |
3 |
pwdLockout |
Jeśli TRUE, określa Blokuj użytkownika po wygaśnięciu jego hasła, aby nie mógł się zalogować. |
Fałsz |
pwdLockoutDuration |
Liczba sekund, przez które nie można było użyć hasła do uwierzytelnienia użytkownika. zbyt wiele kolejnych nieudanych prób logowania. Innymi słowy, jest to okres, w którym konto użytkownika pozostanie aktywne. zablokowane z powodu przekroczenia liczby kolejnych nieudanych prób logowania określonej przez pwdMaxFailure . Jeśli pwdLockoutDuration ma wartość 0, konto użytkownika pozostanie zablokowane do czasu odblokowania konta przez administratora . Patrz „Odblokowywanie konta użytkownika” poniżej. Jeśli pwdLockoutDuration ma wartość >0, atrybut określa czas, przez jaki konto użytkownika zablokowany. Po upływie tego czasu konto użytkownika zostanie automatycznie Bez blokady. Zalecamy ustawienie tego atrybutu na taką samą wartość jak atrybut pwdFailureCountInterval . |
300 |
pwdMaxAge |
Liczba sekund, po których wygasa hasło użytkownika (innego niż sysadmin). Wartość 0 co oznacza, że hasła nie wygasają. Wartość domyślna (2592 000) odpowiada 30 dniom od podczas tworzenia hasła. |
użytkownik: 2592000 sysadmin: 0 |
pwdMaxFailure |
Liczba kolejnych nieudanych prób logowania, po których nie można było użyć hasła, aby uwierzytelniać użytkownika w katalogu. |
3 |
pwdMinLength |
Określa minimalną liczbę znaków wymaganą przy ustawianiu hasła. |
8 |
Odblokowywanie konta użytkownika
Konto użytkownika może zostać zablokowane z powodu atrybutów ustawionych w zasadach dotyczących haseł. Użytkownik z Przypisana rola Apigee sysadmin może używać tego wywołania interfejsu API, aby odblokować koncie. Zastąp wartości w nawiasach klamrowych wartościami rzeczywistymi.
Aby odblokować użytkownika:
/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}