管理用于 API 管理的默认 LDAP 密码政策

适用于私有云的 Edge v4.18.05

Apigee 系统使用 OpenLDAP 在您的 API 管理环境中对用户进行身份验证。 OpenLDAP 提供此 LDAP 密码政策功能。

本部分介绍如何配置递送的默认 LDAP 密码政策。使用此 密码政策,用于配置各种密码身份验证选项,例如 次登录失败,达到此上限后,就不能再使用密码验证 将用户添加到目录。

本部分还介绍了如何使用若干 API 来解锁 根据默认密码政策中配置的属性锁定密码。

如需了解详情,请参阅:

配置默认 LDAP 密码 政策

要配置默认 LDAP 密码政策,请执行以下操作:

  1. 使用 LDAP 客户端(如 Apache Studio 或 ldapmodify)连接到 LDAP 服务器。修改者 默认 OpenLDAP 服务器会监听 OpenLDAP 节点上的端口 10389。

    如需进行连接,请指定 cn=manager,dc=apigee,dc=com 的 Bind DN 或用户,以及 您在安装 Edge 时设置的 OpenLDAP 密码。

  2. 使用客户端前往以下项的密码政策属性: <ph type="x-smartling-placeholder">
      </ph>
    • Edge 用户:cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Edge 系统管理员:cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. 根据需要修改密码政策属性值。
  4. 保存配置。

默认 LDAP 密码政策属性

属性 说明 默认
pwdExpireWarning
密码到期前的最多秒数 系统会向对目录进行身份验证的用户返回警告消息。

604800

(相当于 7 天)

pwdFailureCountInterval

间隔的秒数后,之前连续失败的绑定尝试会从 失败计数器。

换言之,这指的是连续的 会重置失败的登录尝试。

如果 pwdFailureCountInterval 设置为 0, 只有成功的身份验证才能重置计数器。

如果 pwdFailureCountInterval 设置为 大于 0,则此属性会定义一个时长,超过此时长后,系统会计算连续登录失败次数 即使未成功进行身份验证,系统也会自动重置

我们建议将该属性设置为与 pwdLockoutDuration 属性。

300
pwdInHistory

将存储在 pwdHistory 属性。

更改密码时,用户将无法更改自己的任何密码 密码。

3
pwdLockout

如果为 TRUE,则指定为 在用户密码到期时将其锁定,使用户无法再登录。

错误
pwdLockoutDuration

在指定期限内无法使用密码验证用户身份的秒数 导致连续失败的登录尝试次数过多。

换言之,就是用户账号将保持有效状态的时长 因为超出 pwdMaxFailure 属性。

如果 pwdLockoutDuration 设置为 0,用户账号将保持锁定状态 直到系统管理员将其解锁

请参阅解锁用户账号

如果pwdLockoutDuration 设置为 >0,则该属性会定义用户账号将保持 已锁定。此时间段过后,用户账号将自动 已解锁。

我们建议将该属性设置为与 pwdFailureCountInterval 属性。

300
pwdMaxAge

用户(非系统管理员)密码过期的秒数。值为 0 表示密码不会过期。默认值 2592000 对应 30 天 创建密码。

用户:2592000

系统管理员:0

pwdMaxFailure

连续失败的登录尝试次数,达到此次数后就无法再使用密码 验证用户身份到目录

3
pwdMinLength

指定设置密码时要求的最少字符数。

8

解锁用户账号

用户的账号可能会因密码政策中设置的属性而被锁定。用户 分配的系统管理员 Apigee 角色可以使用以下 API 调用来解锁用户的 。将 userEmailadminEmailpassword 替换为实际值 值。

如需解锁用户,请执行以下操作

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password