Edge for Private Cloud v. 4.17.05
Apigee 系统使用 OpenLDAP 在您的 API 管理环境中对用户进行身份验证。 OpenLDAP 使此 LDAP 密码政策功能可用。
本部分介绍如何配置提供的默认 LDAP 密码政策。您可以使用此密码政策配置各种密码身份验证选项,例如在连续失败的登录尝试次数后,系统就不能再使用密码来验证访问目录的用户的身份。
本节还介绍了如何使用一些 API 解锁已根据默认密码政策中配置的属性锁定的用户帐号。
配置默认 LDAP 密码政策
要配置默认 LDAP 密码政策,请执行以下操作:
- 使用 LDAP 客户端(如 Apache Studio 或 ldapmodify)连接到您的 LDAP 服务器。默认情况下,OpenLDAP 服务器监听 OpenLDAP 节点上的端口 10389。
如需进行连接,请指定 cn=manager,dc=apigee,dc=com 的 Bind DN 或用户,以及您在安装 Edge 时设置的 OpenLDAP 密码。 - 使用客户端找到以下账号的密码政策属性:
- 边缘用户:cn=default,ou=pwpolicies,dc=apigee,dc=com
- 边缘系统管理员:cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- 根据需要修改密码政策属性值。
- 保存配置。
默认 LDAP 密码政策属性
特性 |
说明 |
默认 |
---|---|---|
pwdExpireWarning |
向向目录进行身份验证的用户,在密码到期前的多少秒内将返回到期警告消息。 |
604800 (相当于 7 天) |
pwdFailureCountInterval |
从失败计数器中完全清除旧的连续失败绑定尝试的秒数。 换句话说,这也是重置尝试登录失败次数的秒数。 如果 pwdFailureCountInterval 设置为 0,则只有身份验证成功才能重置计数器。 如果 pwdFailureCountInterval 设置为 >0,则该属性会指定时长,即使未发生身份验证成功,系统也会自动重置连续登录失败次数的计数。 我们建议将此属性设置为与 pwdLockoutDuration 属性相同的值。 |
300 |
pwdInHistory |
将存储在 pwdHistory 属性中的用户使用或过去密码的数量上限。 更改密码后,系统将阻止用户将其更改为之前的任何密码。 |
3 |
pwdLockout |
如果为 TRUE,则指定在用户密码到期时锁定用户,让用户无法再登录。 |
False |
pwdLockoutDuration |
由于连续登录失败次数过多而无法使用密码对用户进行身份验证的秒数。 换句话说,这是用户帐号由于超过 pwdMaxFailure 属性设置的连续登录失败次数而保持锁定状态的时长。 如果 pwdLockoutDuration 设置为 0,则用户帐号将保持锁定状态,直到系统管理员将其解锁。 请参见下文中的“解锁用户帐号”。 如果 pwdLockoutDuration 设置为 >0,则该属性会定义用户帐号将保持锁定状态的时长。经过这段时间后,用户帐号将自动解锁。 我们建议将此属性设置为与 pwdFailureCountInterval 属性相同的值。 |
300 |
pwdMaxAge |
用户(非系统管理员)密码到期的秒数。值为 0 表示密码不会过期。默认值 2592000 对应于创建密码后 30 天。 |
用户:2592000 系统管理员:0 |
pwdMaxFailure |
连续失败的登录尝试次数后,系统可能不会使用密码来验证目录中的用户的身份。 |
3 |
pwdMinLength |
指定设置密码时所需的最少字符数。 |
8 |
解锁用户帐号
用户的帐号可能会因密码政策中设置的属性而被锁定。分配了系统管理员 Apigee 角色的用户可以使用以下 API 调用来解锁用户的帐号。将大括号中的值替换为实际值。
如需解锁用户,请执行以下操作:
/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}