مدیریت خط‌مشی پیش‌فرض رمز عبور LDAP برای مدیریت API

Edge for Private Cloud نسخه 4.17.09

سیستم Apigee از OpenLDAP برای احراز هویت کاربران در محیط مدیریت API شما استفاده می کند. OpenLDAP این قابلیت خط مشی رمز عبور LDAP را در دسترس قرار می دهد.

این بخش نحوه پیکربندی خط مشی رمز عبور پیش فرض LDAP تحویل داده شده را توضیح می دهد. از این خط مشی رمز عبور برای پیکربندی گزینه های مختلف احراز هویت رمز عبور استفاده کنید، مانند تعداد تلاش های متوالی برای ورود ناموفق که پس از آن دیگر نمی توان از رمز عبور برای احراز هویت کاربر در فهرست استفاده کرد.

این بخش همچنین نحوه استفاده از چند API را برای باز کردن قفل حساب های کاربری که طبق ویژگی های پیکربندی شده در خط مشی رمز عبور پیش فرض قفل شده اند، توضیح می دهد.

برای اطلاعات بیشتر، نگاه کنید به:

پیکربندی خط مشی رمز عبور پیش فرض LDAP

برای پیکربندی خط مشی رمز عبور پیش فرض LDAP:

  1. با استفاده از یک کلاینت LDAP مانند Apache Studio یا ldapmodify به سرور LDAP خود متصل شوید. به طور پیش فرض سرور OpenLDAP به پورت 10389 در گره OpenLDAP گوش می دهد.

    برای اتصال، Bind DN یا کاربر cn=manager,dc=apigee,dc=com و رمز عبور OpenLDAP را که در زمان نصب Edge تنظیم کردید، مشخص کنید.
  2. از مشتری برای پیمایش به ویژگی های خط مشی رمز عبور برای موارد زیر استفاده کنید:
    • کاربران Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Edge sysadmin: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. مقادیر مشخصه سیاست رمز عبور را به دلخواه ویرایش کنید.
  4. پیکربندی را ذخیره کنید.

ویژگی های خط مشی رمز عبور پیش فرض LDAP

صفت

توضیحات

پیش فرض

pwdExpireWarning

حداکثر تعداد ثانیه قبل از انقضای رمز عبور است که پیام های هشدار انقضا به کاربری که در حال احراز هویت به دایرکتوری است بازگردانده می شود.

604800

(معادل 7 روز)

pwdFailureCountInterval

تعداد ثانیه‌هایی که پس از آن تلاش‌های پیوند ناموفق قدیمی قدیمی از شمارنده شکست پاک می‌شوند.

به عبارت دیگر، این تعداد ثانیه هایی است که پس از آن تعداد تلاش های ناموفق متوالی برای ورود مجدد تنظیم می شود.

اگر pwdFailureCountInterval روی 0 تنظیم شود، فقط یک احراز هویت موفق می تواند شمارنده را بازنشانی کند.

اگر pwdFailureCountInterval روی >0 تنظیم شود، مشخصه مدت زمانی را مشخص می کند که پس از آن تعداد تلاش های متوالی ناموفق برای ورود به سیستم به طور خودکار بازنشانی می شود، حتی اگر احراز هویت موفقیت آمیزی انجام نشده باشد.

ما پیشنهاد می کنیم که این ویژگی با مقدار مشخصه pwdLockoutDuration تنظیم شود.

300

pwdInHistory

حداکثر تعداد رمزهای عبور استفاده شده یا گذشته برای یک کاربر که در ویژگی pwdHistory ذخیره می شود.

هنگام تغییر رمز عبور، کاربر از تغییر آن به هر یک از رمزهای عبور قبلی خود مسدود می شود.

3

pwdLockout

اگر TRUE باشد، مشخص می‌کند که پس از انقضای رمز عبور کاربر قفل شود تا کاربر دیگر نتواند به سیستم وارد شود.

نادرست

pwdLockoutDuration

تعداد ثانیه‌هایی که به دلیل تلاش‌های متوالی ناموفق برای ورود به سیستم، نمی‌توان از رمز عبور برای احراز هویت کاربر استفاده کرد.

به عبارت دیگر، این مدت زمانی است که در طی آن یک حساب کاربری به دلیل بیش از تعداد تلاش‌های ناموفق متوالی برای ورود به سیستم توسط ویژگی pwdMaxFailure قفل می‌شود.

اگر pwdLockoutDuration روی 0 تنظیم شود، حساب کاربری قفل خواهد ماند تا زمانی که مدیر سیستم آن را باز کند.

به «باز کردن قفل حساب کاربری» در زیر مراجعه کنید.

اگر pwdLockoutDuration روی > 0 تنظیم شود، مشخصه مدت زمانی را تعریف می کند که حساب کاربری در آن قفل باقی می ماند. پس از سپری شدن این بازه زمانی، قفل حساب کاربری به طور خودکار باز می شود.

ما پیشنهاد می کنیم که این ویژگی با مقدار مشخصه pwdFailureCountInterval یکسان باشد.

300

pwdMaxAge

تعداد ثانیه هایی که پس از آن یک رمز عبور کاربری (غیر sysadmin) منقضی می شود. مقدار 0 به این معنی است که رمزهای عبور منقضی نمی شوند. مقدار پیش فرض 2592000 مربوط به 30 روز از زمان ایجاد رمز عبور است.

کاربر: 2592000

sysadmin: 0

pwdMaxFailure

تعداد تلاش‌های متوالی ناموفق برای ورود به سیستم که پس از آن ممکن است از رمز عبور برای احراز هویت کاربر در فهرست استفاده نشود.

3

pwdMinLength

حداقل تعداد کاراکترهای مورد نیاز هنگام تنظیم رمز عبور را مشخص می کند.

8

باز کردن قفل حساب کاربری

حساب کاربری ممکن است به دلیل ویژگی های تعیین شده در خط مشی رمز عبور قفل شود. کاربری با نقش sysadmin Apigee اختصاص داده شده می‌تواند از تماس API زیر برای باز کردن قفل حساب کاربر استفاده کند. مقادیر موجود در بریس های فرفری را با مقادیر واقعی جایگزین کنید.

برای باز کردن قفل کاربر:

/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}