Questa pagina è stata tradotta dall'API Cloud Translation.

Gestione del criterio della password LDAP predefinita per la gestione delle API

Il sistema Apigee utilizza OpenLDAP per autenticare gli utenti nel tuo ambiente di gestione delle API. OpenLDAP rende disponibile questa funzionalità dei criteri password LDAP.

Questa sezione descrive come configurare il criterio predefinito per le password LDAP. Utilizza questo criterio per le password per configurare varie opzioni di autenticazione delle password, ad esempio il numero di tentativi di accesso consecutivi non riusciti dopo i quali non è più possibile utilizzare una password per autenticare un utente nella directory.

Questa sezione descrive anche come utilizzare un paio di API per sbloccare gli account utente che sono stati bloccati in base agli attributi configurati nel criterio relativo alle password predefinito.

Per ulteriori informazioni, consulta:

Configurazione del criterio per le password LDAP predefinite

Questa sezione spiega come configurare i criteri predefiniti per le password LDAP per:

Utenti Edge e l'amministratore di sistema originale
Amministratori di sistema aggiuntivi

Configurazione del criterio predefinito per le password LDAP per gli utenti di Edge e per l'amministratore di sistema originale

Per configurare il criterio predefinito per le password LDAP per gli utenti di Edge e l'amministratore di sistema originale:

Connettiti al server LDAP utilizzando un client LDAP, come Apache Studio o ldapmodify. Per impostazione predefinita, il server OpenLDAP rimane in ascolto sulla porta 10389 sul nodo OpenLDAP.
Per connetterti, specifica il DN di associazione o l'utente di cn=manager,dc=apigee,dc=com e la password OpenLDAP impostata al momento dell'installazione di Edge.
Utilizza il client per accedere agli attributi dei criteri della password per:
- Utenti Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Il sysadmin di Edge originale: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  Nota: per configurare il criterio della password LDAP per altri sysadmin (diversi dal sysadmin originale), consulta la sezione Configurazione del criterio della password LDAP per altri sysadmin di seguito.
Modifica i valori degli attributi del criterio password come preferisci.
Salva la configurazione.

Configurazione dei criteri delle password LDAP per sysadmins aggiuntivi

Quando aggiungi utenti sysadmin a Edge, questi ereditano il criterio di password predefinito anziché il criterio di password del sysadmin originale. Il criterio predefinito per le password scade dopo un determinato periodo di tempo, a meno che non sia configurato diversamente. Per impostare il criterio della password degli utenti sysadmin aggiuntivi in modo che non scada, segui questi passaggi:

Per trovare dn tutti gli amministratori di sistema, esegui questo comando:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

L'output mostra gli utenti sysadmin come roleOccupant:

dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com

Crea un nuovo file denominato ppchange.ldif e aggiungi quanto segue (sostituendo il DN del tuo utente sysadmin):

dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Modifica l'utente inserendo il seguente comando:

ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif

Verifica la modifica con il comando di ricerca ldap:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

L'output mostrerebbe l'aggiunta di pwdPolicySubentry:

dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Ripeti i passaggi da 2 a 4 per ogni amministratore di sistema.

Attributi predefiniti dei criteri per le password LDAP

Attributo	Descrizione	Predefinito
pwdExpireWarning	Numero massimo di secondi prima della scadenza di una password. I messaggi di avviso di scadenza verranno restituiti all'utente che sta eseguendo l'autenticazione nella directory.	604800 (equivalente a 7 giorni)
pwdFailureCountInterval	Numero di secondi dopo i quali i vecchi tentativi di associazione non riusciti consecutivi vengono eliminati dal contatore degli errori. In altre parole, questo è il numero di secondi dopo il quale viene reimpostato il conteggio di tentativi di accesso non riusciti consecutivi. Se `pwdFailureCountInterval` è impostato su 0, solo un'autenticazione riuscita può reimpostare il contatore. Se `pwdFailureCountInterval` è impostato su >0, l'attributo definisce una durata dopo la quale il conteggio dei tentativi di accesso consecutivi non riusciti viene reimpostato automaticamente, anche se non è avvenuta alcuna autenticazione riuscita. Ti consigliamo di impostare questo attributo sullo stesso valore dell'attributo `pwdLockoutDuration`.	300
pwdInHistory	Numero massimo di password usate o passate per un utente che verranno memorizzate nell'attributo `pwdHistory`. Quando l'utente cambia la password, non potrà impostarla su una delle sue password precedenti.	3
pwdLockout	Se `TRUE`, specifica di bloccare un utente alla scadenza della password in modo che non possa più accedere.	Falso
pwdLockoutDuration	Numero di secondi durante i quali non è possibile utilizzare una password per autenticare l'utente a causa di troppi tentativi di accesso consecutivi non riusciti. In altre parole, si tratta del periodo di tempo durante il quale un account utente rimarrà bloccato a causa del superamento del numero di tentativi di accesso consecutivi non riusciti impostato dall'attributo `pwdMaxFailure`. Se `pwdLockoutDuration` è impostato su 0, l'account utente rimarrà bloccato finché un amministratore di sistema non lo sblocca. Consulta Sbloccare un account utente. Se il criterio `pwdLockoutDuration` è impostato su > 0, l'attributo definisce un periodo di tempo durante il quale l'account utente rimarrà bloccato. Al termine di questo periodo di tempo, l'account utente verrà sbloccato automaticamente. Ti suggeriamo di impostare questo attributo sullo stesso valore dell'attributo `pwdFailureCountInterval`.	300
pwdMaxAge	Numero di secondi dopo i quali scade la password di un utente (non amministratore di sistema). Il valore 0 significa che le password non scadono. Il valore predefinito di 2592000 corrisponde a 30 giorni dal momento della creazione della password.	utente: 2592000 sysadmin: 0
pwdMaxFailure	Numero di tentativi di accesso consecutivi non riusciti dopo i quali una password potrebbe non essere utilizzata per autenticare un utente nella directory.	3
pwdMinLength	Specifica il numero minimo di caratteri necessari per l'impostazione di una password.	8

Sbloccare un account utente

L'account di un utente potrebbe essere bloccato a causa degli attributi impostati nei criteri relativi alle password. Un utente con il ruolo sysadmin Apigee assegnato può utilizzare la seguente chiamata API per sbloccare il proprio account. Sostituisci userEmail, adminEmail e password con valori effettivi.

Per sbloccare un utente:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password

Nota: per assicurarti che solo gli amministratori di sistema possano chiamare questa API, il percorso /users/*/status è incluso nella proprietà conf_security_rbac.restricted.resources per il server di gestione:

cd /opt/apigee/edge-management-server

grep -ri "conf_security_rbac.restricted.resources" *

L'output contiene quanto segue:

token/default.properties:conf_security_rbac.restricted.resources=/environments,/environments/*,/environments/*/virtualhosts,/environments/*/virtualhosts/*,/pods,/environments/*/servers,/rebuildindex,/users/*/status