Edge для частного облака v4.18.05
Система Apigee использует OpenLDAP для аутентификации пользователей в вашей среде управления API. OpenLDAP делает доступной эту функциональность политики паролей LDAP.
В этом разделе описывается, как настроить политику паролей LDAP по умолчанию. Используйте эту политику паролей для настройки различных параметров аутентификации по паролю, таких как количество последовательных неудачных попыток входа в систему, после которых пароль больше не может использоваться для аутентификации пользователя в каталоге.
В этом разделе также описывается, как использовать несколько API-интерфейсов для разблокировки учетных записей пользователей, которые были заблокированы в соответствии с атрибутами, настроенными в политике паролей по умолчанию.
Дополнительную информацию см.:
Настройка политики паролей LDAP по умолчанию
Чтобы настроить политику паролей LDAP по умолчанию:
- Подключитесь к серверу LDAP с помощью клиента LDAP, например Apache Studio или ldapmodify. По умолчанию сервер OpenLDAP прослушивает порт 10389 на узле OpenLDAP.
Для подключения укажите DN привязки или пользователя
cn=manager,dc=apigee,dc=com
и пароль OpenLDAP, который вы установили во время установки Edge. - Используйте клиент для перехода к атрибутам политики паролей для:
- Пользователи Edge:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- Системный администратор Edge:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Пользователи Edge:
- При необходимости отредактируйте значения атрибутов политики паролей.
- Сохраните конфигурацию.
Атрибуты политики паролей LDAP по умолчанию
Атрибут | Описание | По умолчанию |
---|---|---|
pwdExpireWarning | Максимальное количество секунд до истечения срока действия пароля, после которого пользователю, прошедшему аутентификацию в каталоге, будут возвращены предупреждения об истечении срока действия. | 604800 (эквивалент 7 дней) |
pwdFailureCountInterval | Количество секунд, по истечении которых старые последовательные неудачные попытки привязки удаляются из счетчика неудач. Другими словами, это количество секунд, по истечении которых счетчик последовательных неудачных попыток входа сбрасывается. Если Если для Мы предлагаем установить для этого атрибута то же значение, что и для атрибута | 300 |
pwdInHistory | Максимальное количество использованных или прошлых паролей пользователя, которое будет храниться в атрибуте При смене пароля пользователю будет запрещено менять его на любой из своих прошлых паролей. | 3 |
pwdLockout | Если | ЛОЖЬ |
pwdLockoutDuration | Количество секунд, в течение которых пароль не может быть использован для аутентификации пользователя из-за слишком большого количества последовательных неудачных попыток входа в систему. Другими словами, это период времени, в течение которого учетная запись пользователя будет оставаться заблокированной из-за превышения количества последовательных неудачных попыток входа в систему, установленных атрибутом Если для См. раздел Разблокировка учетной записи пользователя . Если для Мы предлагаем установить для этого атрибута то же значение, что и для атрибута | 300 |
pwdMaxAge | Количество секунд, по истечении которых истекает срок действия пароля пользователя (не системного администратора). Значение 0 означает, что срок действия паролей не ограничен. Значение по умолчанию 2592000 соответствует 30 дням с момента создания пароля. | пользователь: 2592000 сисадмин: 0 |
pwdMaxFailure | Количество последовательных неудачных попыток входа в систему, после которых пароль не может быть использован для аутентификации пользователя в каталоге. | 3 |
pwdMinLength | Указывает минимальное количество символов, необходимое при установке пароля. | 8 |
Разблокировка учетной записи пользователя
Учетная запись пользователя может быть заблокирована из-за атрибутов, установленных в политике паролей. Пользователь с назначенной ролью системного администратора Apigee может использовать следующий вызов API, чтобы разблокировать учетную запись пользователя. Замените userEmail , adminEmail и password фактическими значениями.
Чтобы разблокировать пользователя:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password