Zarządzanie domyślną zasadą dotyczącą haseł na potrzeby zarządzania interfejsami API

Edge for Private Cloud w wersji 4.18.05

System Apigee używa protokołu OpenLDAP do uwierzytelniania użytkowników w środowisku zarządzania interfejsami API. OpenLDAP udostępnia tę funkcję zasad dotyczących haseł LDAP.

W tej sekcji opisaliśmy, jak skonfigurować dostarczone domyślne zasady haseł LDAP. Użyj tej zasad dotyczących haseł do konfigurowania różnych opcji uwierzytelniania haseł, takich jak liczba kolejnych nieudanych prób logowania, po których użytkownik nie może uwierzytelnić swojego konta przy użyciu hasła. do katalogu.

W tej sekcji opisujemy też, jak przy użyciu interfejsów API odblokowywać konta użytkowników, które zostały jest zablokowana zgodnie z atrybutami skonfigurowanymi w domyślnych zasadach dotyczących haseł.

Dodatkowe informacje:

Konfigurowanie domyślnego hasła LDAP Zasady

Aby skonfigurować domyślne zasady haseł LDAP:

  1. Połącz się z serwerem LDAP przy użyciu klienta LDAP, takiego jak Apache Studio lub ldapmodify. Według domyślny serwer OpenLDAP nasłuchuje na porcie 10389 w węźle OpenLDAP.

    Aby nawiązać połączenie, podaj nazwę wyróżniającą (DN) lub użytkownika domeny cn=manager,dc=apigee,dc=com oraz Hasło OpenLDAP ustawione podczas instalacji Edge.

  2. Za pomocą klienta przejdź do atrybutów zasad dotyczących haseł dla:
    • Użytkownicy Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Edge sysadmin: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. Edytuj wartości atrybutów zasad dotyczących haseł zgodnie z potrzebami.
  4. Zapisz konfigurację.

Domyślne atrybuty zasad LDAP dotyczących haseł

Atrybut Opis Domyślny
pwdExpireWarning
Maksymalny czas wygaśnięcia hasła w sekundach użytkownikom, którzy uwierzytelniają się w katalogu, zwracane są komunikaty ostrzegawcze.

604800

(Odpowiednik 7 dni)

pwdFailureCountInterval

Liczba sekund, po których stare kolejne nieudane próby powiązania są trwale usuwane z licznika błędów.

Innymi słowy, jest to liczba sekund, po których następuje liczba kolejnych nieudane próby logowania są resetowane.

Jeśli pwdFailureCountInterval ma wartość 0, licznik będzie można zresetować tylko pomyślnie po pomyślnym uwierzytelnieniu.

Jeśli pwdFailureCountInterval ma wartość >0, atrybut określa czas, po którym liczba kolejnych nieudanych prób logowania jest automatycznie resetowany, nawet jeśli nie doszło do żadnego udanego uwierzytelnienia.

Zalecamy ustawienie tego atrybutu na taką samą wartość jak atrybut pwdLockoutDuration.

300
pwdInHistory

Maksymalna liczba używanych lub wcześniejszych haseł użytkownika, które będą przechowywane w pwdHistory.

Gdy użytkownik zmieni swoje hasło, nie będzie mógł go zmienić na dowolne swoje wcześniejszych haseł.

3
pwdLockout

Jeśli TRUE, określa Blokuj użytkownika po wygaśnięciu jego hasła, aby nie mógł się zalogować.

Fałsz
pwdLockoutDuration

Liczba sekund, przez które nie można było użyć hasła do uwierzytelnienia użytkownika. zbyt wiele kolejnych nieudanych prób logowania.

Innymi słowy, jest to okres, w którym konto użytkownika pozostanie aktywne. zablokowane z powodu przekroczenia liczby kolejnych nieudanych prób logowania określonej przez pwdMaxFailure.

Jeśli zasada pwdLockoutDuration ma wartość 0, konto użytkownika pozostanie zablokowane dopóki administrator systemu go nie odblokuje.

Zobacz Odblokowywanie konta użytkownika.

Jeśli pwdLockoutDuration ma wartość >0, atrybut określa czas, przez jaki konto użytkownika zablokowany. Po upływie tego czasu konto użytkownika zostanie automatycznie Bez blokady.

Zalecamy ustawienie tego atrybutu na taką samą wartość jak atrybut pwdFailureCountInterval.

300
pwdMaxAge

Liczba sekund, po których wygasa hasło użytkownika (innego niż sysadmin). Wartość 0 co oznacza, że hasła nie wygasają. Wartość domyślna (2592 000) odpowiada 30 dniom od podczas tworzenia hasła.

użytkownik: 2592000

sysadmin: 0

pwdMaxFailure

Liczba kolejnych nieudanych prób logowania, po których nie można było użyć hasła, aby uwierzytelniać użytkownika w katalogu.

3
pwdMinLength

Określa minimalną liczbę znaków wymaganą przy ustawianiu hasła.

8

Odblokowywanie konta użytkownika

Konto użytkownika może zostać zablokowane z powodu atrybutów ustawionych w zasadach dotyczących haseł. Użytkownik z Przypisana rola Apigee sysadmin może używać tego wywołania interfejsu API, aby odblokować koncie. Zastąp userEmail, adminEmail i password rzeczywistymi wartościami .

Aby odblokować użytkownika:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password