私有雲的邊緣 4.17.05 版
Apigee 系統會使用 OpenLDAP 驗證 API 管理環境中的使用者。 OpenLDAP 提供這項 LDAP 密碼政策功能。
本節說明如何設定已傳送的預設 LDAP 密碼政策。使用這項密碼政策即可設定各種密碼驗證選項,例如連續登入失敗次數。一旦超過這個次數,就無法再以密碼驗證該目錄的使用者。
本節也會說明如何使用一些 API,根據預設密碼政策中設定的屬性,解鎖已鎖定的使用者帳戶。
設定預設 LDAP 密碼政策
如何設定預設 LDAP 密碼政策:
- 使用 LDAP 用戶端 (例如 Apache Studio 或 ldapmodify) 連線至 LDAP 伺服器。根據預設,OpenLDAP 伺服器會監聽 OpenLDAP 節點的通訊埠 10389。
如要連線,請指定 cn=manager,dc=apigee,dc=com 的 Bind DN 或使用者,以及您在 Edge 安裝時設定的 OpenLDAP 密碼。 - 使用用戶端前往以下應用程式的密碼政策屬性:
- Edge 使用者:cn=default,ou=pwpolicies,dc=apigee,dc=com
- Edge sysadmin:cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- 視需要編輯密碼政策屬性值。
- 儲存設定。
預設 LDAP 密碼政策屬性
屬性 |
說明 |
預設 |
---|---|---|
pwdExpireWarning |
密碼過期前的秒數上限;系統會在到期前將到期警告訊息傳回給正在驗證目錄的使用者。 |
604800 (相當於 7 天) |
pwdFailureCountInterval |
從失敗計數器中清除連續失敗繫結嘗試的秒數。 換句話說,這個秒數過後,系統會重設連續嘗試登入失敗的秒數。 如果 pwdFailureCountInterval 設為 0,則只有成功的驗證可以重設計數器。 如果 pwdFailureCountInterval 設為 >0,這個屬性會定義一個效期,只要持續嘗試登入失敗的計數,即使未發生驗證成功,系統也會自動重設幾次。 建議將此屬性設為與 pwdLockoutDuration 屬性相同的值。 |
300 |
pwdInHistory |
使用者的密碼數量上限,這類密碼會儲存在 pwdHistory 屬性中。 使用者變更密碼後,無法變更密碼。 |
3 |
pwdLockout |
如為 TRUE,可指定在使用者密碼到期時遭到鎖定,讓使用者無法再登入。 |
false |
pwdLockoutDuration |
連續嘗試登入失敗的次數過多,無法再使用密碼來驗證使用者。 換句話說,使用者帳戶由於超過 pwdMaxFailure 屬性設定的連續登入失敗次數,因此帳戶會維持鎖定的時間長度。 如果 pwdLockoutDuration 設為 0,使用者帳戶會保持鎖定狀態,直到系統管理員將其解鎖為止。 請參閱下方的「解鎖使用者帳戶」一節。 如果將 pwdLockoutDuration 設為 >0,這個屬性會定義使用者帳戶鎖定的時間長度。這段期間過後,使用者帳戶就會自動解鎖。 建議您將這個屬性設為與 pwdFailureCountInterval 屬性相同的值。 |
300 |
pwdMaxAge |
使用者 (非 sysadmin) 密碼到期的秒數。如果值為 0,表示密碼不會過期。預設值 2592000 對應至密碼建立後的 30 天。 |
使用者:2592000 sysadmin:0 |
pwdMaxFailure |
連續登入失敗次數。達到此上限後,使用者就無法使用密碼驗證目錄使用者的身分。 |
3 |
pwdMinLength |
指定設定密碼時所需的字元數下限。 |
8 |
解鎖使用者帳戶
使用者的帳戶可能會因密碼政策中設定的屬性而遭到鎖定。具備 sysadmin Apigee 角色的使用者可以使用下列 API 呼叫解鎖使用者帳戶。將大括號中的值替換為實際值。
如何解鎖使用者:
/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}