Edge per Private Cloud v4.18.05
Il sistema Apigee utilizza OpenLDAP per autenticare gli utenti nell'ambiente di gestione delle API. OpenLDAP rende disponibile questa funzionalità dei criteri delle password LDAP.
Questa sezione descrive come configurare il criterio per le password LDAP predefinite consegnato. Usa questa criterio per le password per configurare varie opzioni di autenticazione delle password, come il numero di tentativi di accesso non riusciti consecutivi dopo i quali non è più possibile utilizzare una password per autenticare un l'utente nella directory.
Questa sezione descrive inoltre come usare un paio di API per sbloccare gli account utente che sono stati bloccato in base agli attributi configurati nel criterio delle password predefinite.
Per ulteriori informazioni, consulta:
Configurazione della password LDAP predefinita Norme
Per configurare il criterio per le password LDAP predefinito:
- Connettiti al server LDAP utilizzando un client LDAP, come Apache Studio o ldapmodify. Di
il server OpenLDAP predefinito rimane in ascolto sulla porta 10389 del nodo OpenLDAP.
Per eseguire la connessione, specifica il Bind DN o l'utente di
cn=manager,dc=apigee,dc=com
e il Password OpenLDAP impostata al momento dell'installazione di Edge. - Utilizza il client per accedere agli attributi dei criteri delle password per:
- Utenti periferici:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- Amministrazione di sistema perimetrale:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Utenti periferici:
- Modifica i valori degli attributi dei criteri delle password come preferisci.
- Salva la configurazione.
Attributi predefiniti dei criteri della password LDAP
Attributo | Descrizione | Predefinito |
---|---|---|
pwdExpireWarning |
Il numero massimo di secondi prima che una password scada verranno restituiti messaggi di avviso all'utente che effettua l'autenticazione nella directory. |
604800 (Equivalente a 7 giorni) |
pwdFailureCountInterval |
Numero di secondi dopo i quali i vecchi tentativi di associazione non riusciti consecutivi vengono eliminati definitivamente dal contatore di errori. In altre parole, questo è il numero di secondi dopo il quale il conteggio delle tentativi di accesso non riusciti è stato reimpostato. Se il criterio Se il criterio Consigliamo di impostare questo attributo sullo stesso valore del parametro
Attributo |
300 |
pwdInHistory |
Numero massimo di password utilizzate, o passate, per un utente che verranno memorizzate nella
Attributo Quando cambia la password, l'utente non potrà più cambiarla con lei password precedenti. |
3 |
pwdLockout |
Se |
Falso |
pwdLockoutDuration |
Numero di secondi durante i quali non è possibile utilizzare una password per autenticare l'utente a causa del a un numero eccessivo di tentativi di accesso non riusciti consecutivi. In altre parole, questo è il periodo di tempo durante il quale un account utente rimarrà
bloccato a causa del superamento del numero di tentativi di accesso non riusciti consecutivi impostato dal
Attributo Se il criterio Fai riferimento a Sblocco di un account utente. Se Consigliamo di impostare questo attributo sullo stesso valore del parametro
Attributo |
300 |
pwdMaxAge |
Numero di secondi dopo il quale la password di un utente (non-sysadmin) scade. Il valore 0 significa che le password non hanno scadenza. Il valore predefinito di 2592000 corrisponde a 30 giorni da al momento della creazione della password. |
utente: 2592000 sysadmin: 0 |
pwdMaxFailure |
Numero di tentativi di accesso non riusciti consecutivi dopo i quali non è possibile utilizzare una password autenticare un utente nella directory. |
3 |
pwdMinLength |
Specifica il numero minimo di caratteri richiesti per l'impostazione di una password. |
8 |
Sblocco di un account utente
L'account di un utente potrebbe essere bloccato a causa degli attributi impostati nei criteri relativi alle password. Un utente con il ruolo Apigee sysadmin assegnato può utilizzare la seguente chiamata API per sbloccare . Sostituisci userEmail, adminEmail e password con i valori effettivi e i relativi valori.
Per sbloccare un utente:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password