Edge pour Private Cloud version 4.17.09
Le système Apigee utilise OpenLDAP pour authentifier les utilisateurs dans votre environnement de gestion d'API. OpenLDAP rend cette fonctionnalité de règle de mot de passe LDAP disponible.
Cette section explique comment configurer la règle de mot de passe LDAP par défaut. Utiliser ceci "Password" pour configurer diverses options d'authentification par mot de passe, comme le nombre de tentatives de connexion infructueuses consécutives à l'issue desquelles un mot de passe ne peut plus être utilisé pour authentifier à l'annuaire.
Cette section explique également comment utiliser quelques API pour déverrouiller les comptes utilisateur qui ont été verrouillé en fonction des attributs configurés dans la règle de mot de passe par défaut.
Pour en savoir plus, consultez les pages suivantes :
- Règles LDAP
- Informations importantes concernant vos règles relatives aux mots de passe de la communauté Apigee
Configuration du mot de passe LDAP par défaut Règles
Pour configurer la règle de mot de passe LDAP par défaut:
- Connectez-vous à votre serveur LDAP à l'aide d'un client LDAP tel qu'Apache Studio ou ldapmodify. Par
le serveur OpenLDAP par défaut écoute sur le port 10389 sur le nœud OpenLDAP.
Pour vous connecter, spécifiez le nom distinctif de liaison ou l'utilisateur de cn=manager,dc=apigee,dc=com et le Mot de passe OpenLDAP que vous avez défini au moment de l'installation de Edge. - Utilisez le client pour accéder aux attributs des règles relatives aux mots de passe pour les éléments suivants:
<ph type="x-smartling-placeholder">
- </ph>
- Utilisateurs Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Edge sysadmin: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Modifiez les valeurs des attributs des règles relatives aux mots de passe si vous le souhaitez.
- Enregistrez la configuration.
Attributs de stratégie de mot de passe LDAP par défaut
Attribut |
Description |
Par défaut |
---|---|---|
pwdExpireWarning |
Le nombre maximal de secondes avant l'expiration d'un mot de passe des messages d'avertissement seront renvoyés à un utilisateur qui s'authentifie auprès de l'annuaire. |
604800 (équivalent à sept jours) |
pwdFailureCountInterval |
Nombre de secondes au terme desquelles les anciennes tentatives de liaison consécutives ayant échoué sont supprimées définitivement du le compteur d'échecs. En d'autres termes, il s'agit du nombre de secondes au terme desquelles le nombre tentatives de connexion infructueuses sont réinitialisées. Si pwdFailureCountInterval est défini sur 0, seule une authentification réussie peut réinitialiser le compteur. Si pwdFailureCountInterval est défini sur >0, l'attribut définit la durée après laquelle le nombre d'échecs de connexion consécutifs est atteint. est réinitialisée, même si aucune authentification n'a abouti. Nous vous suggérons de définir cet attribut sur la même valeur que pwdLockoutDuration . |
300 |
pwdInHistory |
Nombre maximal de mots de passe utilisés ou passés pour un utilisateur qui seront stockés dans le pwdHistory. Lorsqu'il modifiera son mot de passe, l'utilisateur ne pourra pas le remplacer par l'un de ses vos anciens mots de passe. |
3 |
pwdLockout |
Si la valeur est TRUE, indique verrouiller un utilisateur lorsque son mot de passe expire afin qu’il ne puisse plus se connecter. |
Faux |
pwdLockoutDuration |
Nombre de secondes pendant lesquelles un mot de passe ne peut pas être utilisé pour authentifier l'utilisateur, en raison d'un trop grand nombre de tentatives de connexion infructueuses consécutives. En d'autres termes, il s'agit de la durée pendant laquelle un compte utilisateur verrouillé en raison du dépassement du nombre de tentatives de connexion infructueuses consécutives pwdMaxFailure . Si pwdLockoutDuration est défini sur 0, le compte utilisateur restera verrouillé jusqu'à ce qu'un administrateur système le déverrouille Voir la section "Déverrouillage d'un compte utilisateur" ci-dessous. Si pwdLockoutDuration est définie sur >0, l'attribut définit la durée pendant laquelle le compte utilisateur verrouillé. Une fois cette période écoulée, le compte utilisateur est automatiquement déverrouillée. Nous vous conseillons de définir la valeur de cet attribut sur la même valeur que celle du champ pwdFailureCountInterval. . |
300 |
pwdMaxAge |
Nombre de secondes après l'expiration du mot de passe d'un utilisateur (non administrateur système). Une valeur de 0 les mots de passe n'expirent pas. La valeur par défaut de 2592000 correspond à 30 jours à compter du l’heure à laquelle le mot de passe a été créé. |
utilisateur: 2592000 sysadmin: 0 |
pwdMaxFailure |
Nombre de tentatives de connexion infructueuses consécutives à l'issue desquelles un mot de passe ne peut pas être utilisé pour authentifier un utilisateur dans l’annuaire. |
3 |
pwdMinLength |
Spécifie le nombre minimal de caractères requis lors de la définition d'un mot de passe. |
8 |
Déverrouillage d'un compte utilisateur
Le compte d'un utilisateur peut être verrouillé en raison d'attributs définis dans la règle relative aux mots de passe. Un utilisateur ayant le rôle Apigee d'administrateur système attribué peut utiliser l'appel d'API suivant pour déverrouiller l'accès Google Cloud. Remplacez les valeurs entre accolades par des valeurs réelles.
Pour déverrouiller un utilisateur:
/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}