Private Cloud v. 4.17.09 版本
Apigee 系統會使用 OpenLDAP 在您的 API 管理環境中驗證使用者。 OpenLDAP 提供這項 LDAP 密碼政策功能。
本節說明如何設定已傳送的預設 LDAP 密碼政策。使用這份草稿 密碼政策,以設定各種密碼驗證選項,例如設定 也就是使用者連續 30 次都無法再使用該密碼來驗證 使用者上傳至目錄
本節也會說明如何透過幾個 API 解鎖目前已啟用的使用者帳戶 已根據預設密碼政策設定的屬性鎖定。
若需更多資訊,請參閱:
設定預設 LDAP 密碼 政策
如何設定預設的 LDAP 密碼政策:
- 使用 LDAP 用戶端 (例如 Apache Studio 或 ldapmodify) 連線至 LDAP 伺服器。變更者:
預設 OpenLDAP 伺服器會監聽 OpenLDAP 節點的通訊埠 10389。
如要進行連線,請指定 cn=manager,dc=apigee,dc=com 的 Bind DN 或使用者,以及 您在安裝 Edge 時設定的 OpenLDAP 密碼。 - 請透過用戶端前往下列密碼政策屬性:
- Edge 使用者:cn=default,ou=pwpolicies,dc=apigee,dc=com
- Edge sysadmin:cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- 視需要編輯密碼政策屬性值。
- 儲存設定。
預設 LDAP 密碼政策屬性
|
屬性 |
說明 |
預設 |
|---|---|---|
|
pwdExpireWarning |
密碼到期前的秒數上限 驗證至目錄的使用者將傳回警告訊息。 |
604800 (相當於 7 天) |
|
pwdFailureCountInterval |
超過此秒數後,系統會從 失敗計數器 換句話說,這個數字代表連續計數的秒數 重設失敗的登入次數。 如果 pwdFailureCountInterval 設為 0, 只有成功驗證才能重設計數器。 如果 pwdFailureCountInterval 設為 >0,屬性會定義連續登入失敗次數後的持續時間 會自動重設,即使未成功驗證也是如此。 建議您將此屬性設為與 pwdLockoutDuration 相同值 屬性。 |
300 |
|
pwdInHistory |
可將使用者密碼儲存在 pwdHistory 屬性。 使用者變更密碼後,就無法將密碼變更為自己的密碼 。 |
3 |
|
pwdLockout |
如果為 TRUE,則指定 在密碼過期時鎖定使用者,防止使用者登入。 |
否 |
|
pwdLockoutDuration |
因規定而無法使用密碼驗證使用者的秒數 連續登入失敗次數過多。 也就是說,使用者帳戶會保留這個時間長度 。 pwdMaxFailure 屬性。 如果 pwdLockoutDuration 如果設為 0,使用者帳戶將維持鎖定狀態,直到系統管理員解鎖 基礎架構 請參閱「解鎖使用者帳戶」。 如果 pwdLockoutDuration 設為 >0,屬性會定義使用者帳戶要保留多久 已鎖定。這段時間過後,使用者帳戶會自動經過 並保持解鎖狀態 建議將此屬性設為與 pwdFailureCountInterval 相同的值 屬性。 |
300 |
|
pwdMaxAge |
使用者 (非 Sysadmin) 密碼到期的秒數。值為 0 代表密碼不會過期2592000 的預設值對應於 密碼的建立時間。 |
使用者:2592000 sysadmin:0 |
|
pwdMaxFailure |
連續嘗試登入失敗的次數。超過該次數上限後,系統可能無法再使用密碼 驗證使用者存取目錄 |
3 |
|
pwdMinLength |
指定設定密碼時所需的字元數下限。 |
8 |
解鎖使用者帳戶
使用者的帳戶可能會因密碼政策中設定的屬性而遭到鎖定。符合以下條件的使用者 獲派的 sysadmin Apigee 角色可以使用下列 API 呼叫來解鎖使用者的 讓他們使用服務帳戶將大括號中的值替換為實際值。
如何解鎖使用者:
/v1/users/{userEmail}/status?action=unlock -X POST -u {adminEmail}:{password}