ניהול מדיניות ברירת המחדל של סיסמת LDAP לניהול ממשק API

Edge for Private Cloud גרסה 4.18.05

מערכת Apigee משתמשת ב-OpenLDAP כדי לאמת משתמשים בסביבת ניהול ה-API. התכונה OpenLDAP הופכת את הפונקציונליות של מדיניות הסיסמאות של LDAP לזמינה.

בקטע הזה מוסבר איך להגדיר את מדיניות ברירת המחדל לסיסמאות של LDAP. שימוש בטיוטה הזו למדיניות בנושא סיסמאות כדי להגדיר אפשרויות שונות לאימות סיסמאות, כמו מספר רצף של ניסיונות התחברות כושלים ולאחר מכן לא ניתן יהיה עוד להשתמש בסיסמה כדי לאמת לספרייה.

הקטע הזה גם מתאר איך להשתמש בכמה ממשקי API כדי לקבל גישה לחשבונות משתמשים נעולה בהתאם למאפיינים שהוגדרו במדיניות ברירת המחדל של הסיסמה.

מידע נוסף זמין במאמרים הבאים:

הגדרה של סיסמת ברירת המחדל של LDAP מדיניות

כדי להגדיר את מדיניות ברירת המחדל של סיסמאות LDAP:

  1. התחבר לשרת ה-LDAP שלך באמצעות לקוח LDAP, כמו Apache Studio או ldapmodify. על ידי שרת OpenLDAP שמוגדר כברירת מחדל מאזין ביציאה 10389 בצומת OpenLDAP.

    כדי להתחבר, מציינים את ה-DN Bind או המשתמש של cn=manager,dc=apigee,dc=com ואת פתיחת הסיסמה שנבחרה בזמן התקנת Edge.

  2. משתמשים בלקוח כדי לעבור למאפייני המדיניות בנושא סיסמה עבור:
    • משתמשי Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • מנהל מערכת של Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. עורכים את ערכי המאפיינים של המדיניות בנושא סיסמה לפי הצורך.
  4. שומרים את ההגדרות האישיות.

מאפייני מדיניות סיסמאות שמוגדרים כברירת מחדל ב-LDAP

מאפיין תיאור ברירת מחדל
pwdExpireWarning
מספר השניות המקסימלי עד לפקיעת התוקף של הסיסמה הודעות אזהרה יוחזרו למשתמש שמאמת את הספרייה.

604800

(שווה ערך ל-7 ימים)

pwdFailureCountInterval

מספר השניות שאחריהן ניסיונות כושלים ישנים שנכשלו נמחקים באופן סופי מפני כשלים.

במילים אחרות, זהו מספר השניות שאחריהן המספר של ניסיונות התחברות שנכשלו יאופסו.

אם הערך של pwdFailureCountInterval הוא 0, רק אימות מוצלח יכול לאפס את המונה.

אם המדיניות pwdFailureCountInterval מוגדרת לערך גדול מ-0, המאפיין מגדיר משך זמן שאחריו יש כמה ניסיונות התחברות שנכשלו: מתבצע איפוס אוטומטי של ניסיונות, גם אם לא בוצע אימות בהצלחה.

מומלץ להגדיר את המאפיין הזה עם אותו ערך כמו מאפיין pwdLockoutDuration.

300
pwdInHistory

המספר המקסימלי של סיסמאות בשימוש או סיסמאות קודמות, שיישמרו מאפיין pwdHistory.

לאחר שינוי הסיסמה, המשתמש ייחסם ולא יוכל לשנות אותה לאחת מהן סיסמאות מהעבר.

3
pwdLockout

אם הערך הוא TRUE, הערך מציין לנעול משתמש כשפג תוקף הסיסמה שלו, כך שהוא לא יכול יותר להתחבר.

לא נכון
pwdLockoutDuration

מספר השניות שבמהלכן לא ניתן להשתמש בסיסמה כדי לאמת את המשתמש, יותר מדי ניסיונות התחברות כושלים רצופים.

במילים אחרות, זהו משך הזמן שבמהלכו חשבון משתמש יישאר ננעלה בגלל חריגה ממספר ניסיונות ההתחברות הלא רציפים שהוגדרו על ידי מאפיין pwdMaxFailure.

אם הערך של pwdLockoutDuration הוא 0, חשבון המשתמש יישאר נעול עד שמנהל מערכת יבטל את הנעילה.

לפרטים, ראו ביטול נעילה של חשבון משתמש.

אם pwdLockoutDuration מוגדר כ->0, המאפיין מגדיר משך זמן שבו חשבון המשתמש יישאר נעול. לאחר פרק הזמן הזה, חשבון המשתמש יוגדר אוטומטית לא נעול.

מומלץ להגדיר את המאפיין הזה עם אותו ערך כמו מאפיין pwdFailureCountInterval.

300
pwdMaxAge

מספר השניות שאחריהן פג התוקף של סיסמת משתמש (שאינו אדמין). הערך 0 כלומר, אין תאריך תפוגה של סיסמאות. ערך ברירת המחדל של 2592,000 תואם ל-30 ימים מ- השעה שבה נוצרה הסיסמה.

user: 2592000

sysadmin: 0

pwdMaxFailure

מספר ניסיונות ההתחברות שנכשלו ולאחר מכן לא ניתן היה להשתמש בסיסמה כדי לאמת משתמש בספרייה.

3
pwdMinLength

מציינת את מספר התווים המינימלי שנדרש כשמגדירים סיסמה.

8

ביטול נעילה של חשבון משתמש

יכול להיות שחשבון משתמש יינעל בגלל מאפיינים שהוגדרו במדיניות הסיסמה. משתמש עם תפקיד ה-sysadmin Apigee יכול להשתמש בקריאה הבאה ל-API כדי לבטל את הנעילה של חשבון. מחליפים את userEmail, adminEmail ו-password בערכים עצמם ערכים.

כדי לבטל נעילה של משתמש:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password