Edge for Private Cloud เวอร์ชัน 4.17.05
ระบบ Apigee ใช้ OpenLDAP เพื่อตรวจสอบสิทธิ์ผู้ใช้ในสภาพแวดล้อมการจัดการ API ของคุณ OpenLDAP จะทําให้ฟังก์ชันการทำงานของนโยบายรหัสผ่าน LDAP นี้ใช้งานได้
ส่วนนี้จะอธิบายวิธีกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้นที่ส่ง ใช้ร่างคำตอบนี้ นโยบายรหัสผ่านเพื่อกำหนดค่าตัวเลือกการตรวจสอบสิทธิ์รหัสผ่านต่างๆ เช่น จำนวน ความพยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกันหลังจากนั้นจะไม่สามารถใช้รหัสผ่านในการตรวจสอบสิทธิ์ ในไดเรกทอรี
หัวข้อนี้ยังอธิบายวิธีใช้ API 2-3 รายการเพื่อปลดล็อกบัญชีผู้ใช้ที่ ล็อกตามแอตทริบิวต์ที่กำหนดค่าไว้ในนโยบายรหัสผ่านเริ่มต้น
การกำหนดค่ารหัสผ่าน LDAP เริ่มต้น นโยบาย
หากต้องการกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้น ให้ทำดังนี้
- เชื่อมต่อกับเซิร์ฟเวอร์ LDAP โดยใช้ไคลเอ็นต์ LDAP เช่น Apache Studio หรือ LDAPmodify โดย
เซิร์ฟเวอร์ OpenLDAP เริ่มต้นจะรอฟังพอร์ต 10389 บนโหนด OpenLDAP
หากต้องการเชื่อมต่อ ให้ระบุ Bind DN หรือผู้ใช้ของ cn=manager,dc=apigee,dc=com และพารามิเตอร์ รหัสผ่าน OpenLDAP ที่คุณตั้งไว้ตอนติดตั้ง Edge - ใช้ไคลเอ็นต์เพื่อไปยังแอตทริบิวต์นโยบายรหัสผ่านสำหรับสิ่งต่อไปนี้
- ผู้ใช้ Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
- ผู้ดูแลระบบ Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- แก้ไขค่าแอตทริบิวต์นโยบายรหัสผ่านได้ตามต้องการ
- บันทึกการกำหนดค่า
แอตทริบิวต์นโยบายรหัสผ่าน LDAP เริ่มต้น
|
แอตทริบิวต์ |
คำอธิบาย |
ค่าเริ่มต้น |
|---|---|---|
|
pwdExpireWarning |
จำนวนวินาทีสูงสุดก่อนที่รหัสผ่านจะครบกำหนดการหมดอายุนั้น ข้อความเตือนจะถูกส่งกลับไปให้ผู้ใช้ที่กำลังตรวจสอบสิทธิ์ในไดเรกทอรี |
604800 (เทียบเท่ากับ 7 วัน) |
|
pwdFailureCountInterval |
จำนวนวินาทีหลังจากที่ความพยายามเชื่อมโยงที่ล้มเหลวติดต่อกันครั้งก่อนหน้าจะถูกลบถาวรจาก ตัวนับความล้มเหลว กล่าวอีกนัยหนึ่งคือ ค่านี้คือจำนวนวินาทีหลังจากการนับของ ความพยายามเข้าสู่ระบบที่ไม่สำเร็จจะถูกรีเซ็ต หากตั้งค่า pwdFailureCountInterval เป็น 0 มีเพียงการตรวจสอบสิทธิ์ที่สำเร็จเท่านั้นที่สามารถรีเซ็ตตัวนับได้ หากตั้งค่า pwdFailureCountInterval เป็น >0 แอตทริบิวต์กำหนดระยะเวลาหลังจากการเข้าสู่ระบบที่ไม่สำเร็จติดต่อกัน และจะรีเซ็ตโดยอัตโนมัติ แม้จะไม่มีการตรวจสอบสิทธิ์ที่สำเร็จก็ตาม เราขอแนะนำให้กำหนดค่าแอตทริบิวต์นี้เป็นค่าเดียวกันกับ pwdLockoutDuration |
300 |
|
pwdInHistory |
จำนวนรหัสผ่านที่ใช้แล้ว หรือรหัสผ่านสูงสุดของผู้ใช้ ซึ่งจะจัดเก็บไว้ใน pwdHistory เมื่อเปลี่ยนรหัสผ่าน ระบบจะบล็อกไม่ให้ผู้ใช้เปลี่ยนรหัสผ่านของตน รหัสผ่านที่ผ่านมา |
3 |
|
pwdLockout |
หากเป็น TRUE ให้ระบุเป็น ล็อกผู้ใช้เมื่อรหัสผ่านหมดอายุ เพื่อไม่ให้ผู้ใช้เข้าสู่ระบบได้อีก |
เท็จ |
|
pwdLockoutDuration |
จำนวนวินาทีที่รหัสผ่านไม่สามารถตรวจสอบสิทธิ์ผู้ใช้ได้ พยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกันหลายครั้งเกินไป กล่าวคือ เป็นระยะเวลาที่บัญชีผู้ใช้จะยังคงอยู่ ล็อกเนื่องจากมีความพยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกันเกินจำนวนครั้งที่กำหนดโดย pwdMaxFailure หากเป็น pwdLockoutDuration มีค่าเป็น 0 บัญชีผู้ใช้จะยังคงล็อกไว้จนกว่าผู้ดูแลระบบจะปลดล็อก ได้ ดู "การปลดล็อกบัญชีผู้ใช้" ที่ด้านล่าง หากเป็น pwdLockoutDuration มีค่าเป็น >0 และแอตทริบิวต์จะกำหนดระยะเวลาที่บัญชีผู้ใช้จะยังคงอยู่ ล็อกอยู่ เมื่อพ้นช่วงเวลานี้ บัญชีผู้ใช้จะถูก ปลดล็อกอยู่ เราขอแนะนำให้กำหนดค่าแอตทริบิวต์นี้เป็นค่าเดียวกับ pwdFailureCountInterval |
300 |
|
pwdMaxAge |
จำนวนวินาทีที่รหัสผ่านของผู้ใช้ (ที่ไม่ใช่ของผู้ดูแลระบบ) จะหมดอายุ ค่า 0 หมายความว่ารหัสผ่านไม่มีวันหมดอายุ ค่าเริ่มต้น 2592000 ตรงกับ 30 วันนับจากวันที่ เวลาที่สร้างรหัสผ่าน |
ผู้ใช้: 2592000 ผู้ดูแลระบบ: 0 |
|
pwdMaxFailure |
จำนวนครั้งที่พยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกันซึ่งหลังจากนั้นจะไม่สามารถใช้รหัสผ่านได้ ตรวจสอบสิทธิ์ผู้ใช้กับไดเรกทอรี |
3 |
|
pwdMinLength |
ระบุจำนวนอักขระขั้นต่ำที่ต้องใช้เมื่อตั้งค่ารหัสผ่าน |
8 |
การปลดล็อกบัญชีผู้ใช้
บัญชีของผู้ใช้อาจถูกล็อกเนื่องจากแอตทริบิวต์ที่กำหนดไว้ในนโยบายรหัสผ่าน ผู้ใช้ที่มี บทบาท Apigee ของผู้ดูแลระบบที่ได้รับมอบหมายสามารถใช้การเรียก API ต่อไปนี้เพื่อปลดล็อก ของคุณได้ แทนที่ค่าในวงเล็บปีกกาด้วยค่าจริง
วิธีปลดล็อกผู้ใช้
/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}