Standardmäßige LDAP-Passwortrichtlinie für die API-Verwaltung

Das Apigee-System verwendet OpenLDAP, um Nutzer in Ihrer API-Verwaltungsumgebung zu authentifizieren. OpenLDAP stellt diese Funktionalität der LDAP-Passwortrichtlinie zur Verfügung.

In diesem Abschnitt wird beschrieben, wie Sie die bereitgestellte Standard-LDAP-Passwortrichtlinie konfigurieren. Mit dieser Passwortrichtlinie können Sie verschiedene Optionen für die Passwortauthentifizierung konfigurieren, z. B. die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche, nach denen ein Passwort nicht mehr zur Authentifizierung eines Nutzers im Verzeichnis verwendet werden kann.

In diesem Abschnitt wird auch beschrieben, wie Sie mithilfe einiger APIs Nutzerkonten entsperren, die gemäß den in der Standardpasswortrichtlinie konfigurierten Attributen gesperrt wurden.

Weitere Informationen finden Sie unter:

Standard-LDAP-Passwortrichtlinie konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie die Standard-LDAP-Passwortrichtlinie für Folgendes konfigurieren:

Standard-LDAP-Passwortrichtlinie für Edge-Nutzer und den ursprünglichen Systemadministrator konfigurieren

So konfigurieren Sie die Standard-LDAP-Passwortrichtlinie für Edge-Nutzer und den ursprünglichen Systemadministrator:

  1. Stellen Sie mithilfe eines LDAP-Clients wie Apache Studio oder ldapmodify eine Verbindung zu Ihrem LDAP-Server her. Standardmäßig überwacht der OpenLDAP-Server Port 10389 auf dem OpenLDAP-Knoten.

    Geben Sie zum Herstellen einer Verbindung den Bind-DN oder Nutzer von cn=manager,dc=apigee,dc=com und das OpenLDAP-Passwort an, das Sie bei der Edge-Installation festgelegt haben.

  2. Rufen Sie über den Client die Passwortrichtlinienattribute für Folgendes auf:
    • Edge-Nutzer: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Der ursprüngliche Edge-Sysadmin: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
      Hinweis: Um die LDAP-Passwortrichtlinie für zusätzliche Systemadministratoren (mit Ausnahme des ursprünglichen Systemadministrators) zu konfigurieren, lesen Sie den Abschnitt LDAP-Passwortrichtlinie für zusätzliche Systemadministratoren konfigurieren weiter unten.
  3. Bearbeiten Sie die Attributwerte der Passwortrichtlinie nach Bedarf.
  4. Speichern Sie die Konfiguration.

LDAP-Passwortrichtlinie für zusätzliche Systemadministratoren konfigurieren

Wenn Sie Edge-Nutzer mit Administratorrechten hinzufügen, übernehmen sie die Standardpasswortrichtlinie und nicht die Passwortrichtlinie des ursprünglichen Administrators. Die Standardpasswortrichtlinie läuft nach einer bestimmten Zeit ab, sofern nicht anders konfiguriert. So legen Sie die Passwortrichtlinie für zusätzliche Administratoren so fest, dass sie nicht abläuft:

  1. Führen Sie den folgenden Befehl aus, um den dn aller Systemadministratoren zu ermitteln: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

    In der Ausgabe werden die Systemadministratoren als roleOccupant angezeigt:

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. Erstellen Sie eine neue Datei mit dem Namen ppchange.ldif und fügen Sie Folgendes hinzu (ersetzen Sie dabei den dn Ihres eigenen Systemadministrators): 
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. Ändern Sie den Nutzer mit dem folgenden Befehl: 
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. Prüfen Sie die Änderung mit dem Suchbefehl ldap: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

    Die Ausgabe würde die Hinzufügung von pwdPolicySubentry anzeigen: 

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

  5. Wiederholen Sie die Schritte 2 bis 4 für jeden Systemadministrator.

Standardattribute der LDAP-Passwortrichtlinie

Attribut Beschreibung Standard 
pwdExpireWarning
 Die maximale Anzahl von Sekunden vor Ablauf eines Passworts, nach der Warnungen zum Ablauf an einen Nutzer gesendet werden, der sich beim Verzeichnis authentifiziert.

604800

(entspricht 7 Tagen)

 
pwdFailureCountInterval

Anzahl der Sekunden, nach denen alte aufeinanderfolgende fehlgeschlagene Bindungsversuche aus dem Fehlerzähler gelöscht werden.

Mit anderen Worten, die Anzahl der Sekunden, nach denen die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche zurückgesetzt wird.

Wenn pwdFailureCountInterval auf 0 gesetzt ist, kann der Zähler nur durch eine erfolgreiche Authentifizierung zurückgesetzt werden.

Wenn pwdFailureCountInterval auf > 0 festgelegt ist, definiert das Attribut eine Dauer, nach der die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche automatisch zurückgesetzt wird, auch wenn keine erfolgreiche Authentifizierung stattgefunden hat.

Wir empfehlen, für dieses Attribut denselben Wert wie für das Attribut pwdLockoutDuration festzulegen.

 300 
pwdInHistory

Maximale Anzahl der verwendeten oder bisherigen Passwörter für einen Nutzer, die im Attribut pwdHistory gespeichert werden.

Beim Ändern des Passworts wird die Nutzerin daran gehindert, es in eines ihrer bisherigen Passwörter zu ändern.

 3 
pwdLockout

Wenn TRUE festgelegt ist, wird ein Nutzer gesperrt, wenn sein Passwort abläuft, sodass er sich nicht mehr anmelden kann.

 Falsch 
pwdLockoutDuration

Die Anzahl der Sekunden, während derer ein Passwort aufgrund zu vieler aufeinanderfolgender fehlgeschlagener Anmeldeversuche nicht zur Authentifizierung des Nutzers verwendet werden kann.

Mit anderen Worten: Dies ist die Zeitspanne, während der ein Nutzerkonto gesperrt bleibt, weil die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche überschritten wird, die mit dem Attribut pwdMaxFailure festgelegt sind.

Wenn pwdLockoutDuration auf 0 gesetzt ist, bleibt das Nutzerkonto gesperrt, bis ein Systemadministrator es entsperrt.

Weitere Informationen finden Sie im Hilfeartikel Nutzerkonto entsperren.

Wenn pwdLockoutDuration auf einen Wert größer als 0 gesetzt ist, definiert das Attribut eine Dauer, für die das Nutzerkonto gesperrt bleibt. Nach Ablauf dieses Zeitraums wird das Nutzerkonto automatisch entsperrt.

Wir empfehlen, für dieses Attribut denselben Wert wie für das Attribut pwdFailureCountInterval festzulegen.

 300 
pwdMaxAge

Anzahl der Sekunden, nach denen das Passwort eines Nutzers (kein Systemadministrator) abläuft. Der Wert 0 bedeutet, dass Passwörter nicht ablaufen. Der Standardwert von 2592000 entspricht 30 Tagen ab dem Zeitpunkt, an dem das Passwort erstellt wurde.

user: 2592000

Systemadmin: 0

 
pwdMaxFailure

Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche, nach denen ein Passwort nicht mehr zur Authentifizierung eines Nutzers im Verzeichnis verwendet werden kann.

 3 
pwdMinLength

Gibt die Mindestanzahl von Zeichen an, die beim Festlegen eines Passworts erforderlich ist.

 8

Nutzerkonto entsperren

Das Konto eines Nutzers kann aufgrund von Attributen, die in der Passwortrichtlinie festgelegt sind, gesperrt werden. Ein Nutzer mit der Apigee-Rolle „sysadmin“ kann das Konto des Nutzers mit dem folgenden API-Aufruf entsperren. Ersetzen Sie userEmail, adminEmail und password durch die tatsächlichen Werte.

So entsperren Sie einen Nutzer:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password