System Apigee używa protokołu OpenLDAP do uwierzytelniania użytkowników w środowisku zarządzania interfejsami API. OpenLDAP udostępnia tę funkcję zasad dotyczących haseł LDAP.
W tej sekcji opisaliśmy, jak skonfigurować dostarczone domyślne zasady haseł LDAP. Użyj tej zasad dotyczących haseł do konfigurowania różnych opcji uwierzytelniania haseł, takich jak liczba kolejnych nieudanych prób logowania, po których użytkownik nie może uwierzytelnić swojego konta przy użyciu hasła. do katalogu.
W tej sekcji opisujemy też, jak przy użyciu interfejsów API odblokowywać konta użytkowników, które zostały jest zablokowana zgodnie z atrybutami skonfigurowanymi w domyślnych zasadach dotyczących haseł.
Dodatkowe informacje:
Konfigurowanie domyślnego hasła LDAP Zasady
Aby skonfigurować domyślne zasady haseł LDAP:
- Połącz się z serwerem LDAP przy użyciu klienta LDAP, takiego jak Apache Studio lub ldapmodify. Według
domyślny serwer OpenLDAP nasłuchuje na porcie 10389 w węźle OpenLDAP.
Aby nawiązać połączenie, podaj nazwę wyróżniającą (DN) lub użytkownika domeny
cn=manager,dc=apigee,dc=comoraz Hasło OpenLDAP ustawione podczas instalacji Edge. - Za pomocą klienta przejdź do atrybutów zasad dotyczących haseł dla:
- Użytkownicy Edge:
cn=default,ou=pwpolicies,dc=apigee,dc=com - Edge sysadmin:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Użytkownicy Edge:
- Edytuj wartości atrybutów zasad dotyczących haseł zgodnie z potrzebami.
- Zapisz konfigurację.
Domyślne atrybuty zasad LDAP dotyczących haseł
| Atrybut | Opis | Domyślny |
|---|---|---|
pwdExpireWarning |
Maksymalny czas wygaśnięcia hasła w sekundach użytkownikom, którzy uwierzytelniają się w katalogu, zwracane są komunikaty ostrzegawcze. |
604800 (Odpowiednik 7 dni) |
pwdFailureCountInterval |
Liczba sekund, po których stare kolejne nieudane próby powiązania są trwale usuwane z licznika błędów. Innymi słowy, jest to liczba sekund, po których następuje liczba kolejnych nieudane próby logowania są resetowane. Jeśli Jeśli Zalecamy ustawienie tego atrybutu na taką samą wartość jak atrybut
|
300 |
pwdInHistory |
Maksymalna liczba używanych lub wcześniejszych haseł użytkownika, które będą przechowywane w
Gdy użytkownik zmieni swoje hasło, nie będzie mógł go zmienić na dowolne swoje wcześniejszych haseł. |
3 |
pwdLockout |
Jeśli |
Fałsz |
pwdLockoutDuration |
Liczba sekund, przez które nie można było użyć hasła do uwierzytelnienia użytkownika. zbyt wiele kolejnych nieudanych prób logowania. Innymi słowy, jest to okres, w którym konto użytkownika pozostanie aktywne.
zablokowane z powodu przekroczenia liczby kolejnych nieudanych prób logowania określonej przez
Jeśli zasada Zobacz Odblokowywanie konta użytkownika. Jeśli Zalecamy ustawienie tego atrybutu na taką samą wartość jak atrybut
|
300 |
pwdMaxAge |
Liczba sekund, po których wygasa hasło użytkownika (innego niż sysadmin). Wartość 0 co oznacza, że hasła nie wygasają. Wartość domyślna (2592 000) odpowiada 30 dniom od podczas tworzenia hasła. |
użytkownik: 2592000 sysadmin: 0 |
pwdMaxFailure |
Liczba kolejnych nieudanych prób logowania, po których nie można było użyć hasła, aby uwierzytelniać użytkownika w katalogu. |
3 |
pwdMinLength |
Określa minimalną liczbę znaków wymaganą przy ustawianiu hasła. |
8 |
Odblokowywanie konta użytkownika
Konto użytkownika może zostać zablokowane z powodu atrybutów ustawionych w zasadach dotyczących haseł. Użytkownik z Przypisana rola Apigee sysadmin może używać tego wywołania interfejsu API, aby odblokować koncie. Zastąp userEmail, adminEmail i password rzeczywistymi wartościami .
Aby odblokować użytkownika:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password