Questa pagina è stata tradotta dall'API Cloud Translation.

Gestione del criterio della password LDAP predefinita per la gestione delle API

Il sistema Apigee utilizza OpenLDAP per autenticare gli utenti nell'ambiente di gestione delle API. OpenLDAP rende disponibile questa funzionalità dei criteri delle password LDAP.

Questa sezione descrive come configurare il criterio per le password LDAP predefinite consegnato. Usa questa criterio per le password per configurare varie opzioni di autenticazione delle password, come il numero di tentativi di accesso non riusciti consecutivi dopo i quali non è più possibile utilizzare una password per autenticare un l'utente nella directory.

Questa sezione descrive inoltre come usare un paio di API per sbloccare gli account utente che sono stati bloccato in base agli attributi configurati nel criterio delle password predefinite.

Per ulteriori informazioni, consulta:

Configurare la password LDAP predefinita norme

Questa sezione spiega come configurare i criteri predefiniti per le password LDAP per:

Utenti Edge e amministratore di sistema originale
Altri amministratori di sistema

Configurazione del criterio delle password LDAP predefinito per gli utenti Edge e il ruolo sysadmin originale

Per configurare il criterio della password LDAP predefinito per gli utenti Edge e il ruolo sysadmin originale:

Connettiti al server LDAP utilizzando un client LDAP, come Apache Studio o ldapmodify. Di il server OpenLDAP predefinito rimane in ascolto sulla porta 10389 del nodo OpenLDAP.
Per eseguire la connessione, specifica il Bind DN o l'utente di cn=manager,dc=apigee,dc=com e il Password OpenLDAP impostata al momento dell'installazione di Edge.
Utilizza il client per accedere agli attributi dei criteri delle password per:
- Utenti periferici: cn=default,ou=pwpolicies,dc=apigee,dc=com
- L'amministratore di sistema Edge originale: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  Nota: per configurare la password LDAP per altri sysadmins (diverso dall'originale sysadmin), Configurazione del Criterio della password LDAP per altri sysadmins riportati di seguito.
Modifica i valori degli attributi dei criteri delle password come preferisci.
Salva la configurazione.

Configurazione dei criteri delle password LDAP per sysadmins aggiuntivi

Gli utenti sysadmin che aggiungi a Edge ereditano il criterio della password predefinito, anziché il criterio della password sysadmin dell'originale sysadmin. Il criterio della password predefinito scade dopo il giorno per un determinato periodo di tempo, a meno che non sia configurato diversamente. Per impostare gli utenti sysadmin aggiuntivi le norme per le password in modo che non scada, procedi nel seguente modo:

Trova dn tutti gli amministratori di sistema eseguendo questo comando:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

L'output mostra gli utenti sysadmin come roleOccupant:

dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com

Crea un nuovo file denominato ppchange.ldif e aggiungici il codice seguente (sostituendo il dn del proprio utente sysadmin):

dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Modifica l'utente inserendo il comando seguente:

ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif

Verifica la modifica con il comando di ricerca ldap:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

L'output mostrerebbe l'aggiunta di pwdPolicySubentry:

dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Ripeti i passaggi da 2 a 4 per ciascun amministratore di sistema.

Attributi predefiniti dei criteri della password LDAP

Attributo	Descrizione	Predefinito
pwdExpireWarning	Il numero massimo di secondi prima che una password scada verranno restituiti messaggi di avviso all'utente che effettua l'autenticazione nella directory.	604800 (Equivalente a 7 giorni)
pwdFailureCountInterval	Numero di secondi dopo i quali i vecchi tentativi di associazione non riusciti consecutivi vengono eliminati definitivamente dal contatore di errori. In altre parole, questo è il numero di secondi dopo il quale il conteggio delle tentativi di accesso non riusciti è stato reimpostato. Se il criterio `pwdFailureCountInterval` viene impostato su 0, è possibile reimpostare il contatore soltanto con un'autenticazione riuscita. Se il criterio `pwdFailureCountInterval` è impostato su >0, l'attributo definisce un periodo di tempo dopo il quale il numero di accessi consecutivi non riusciti viene reimpostato automaticamente, anche se non è stata eseguita alcuna autenticazione riuscita. Consigliamo di impostare questo attributo sullo stesso valore del parametro Attributo `pwdLockoutDuration`.	300
pwdInHistory	Numero massimo di password utilizzate, o passate, per un utente che verranno memorizzate nella Attributo `pwdHistory`. Quando cambia la password, l'utente non potrà più cambiarla con lei password precedenti.	3
pwdLockout	Se `TRUE`, specifica bloccare un utente quando scade la password in modo che non possa più accedere.	Falso
pwdLockoutDuration	Numero di secondi durante i quali non è possibile utilizzare una password per autenticare l'utente a causa del a un numero eccessivo di tentativi di accesso non riusciti consecutivi. In altre parole, questo è il periodo di tempo durante il quale un account utente rimarrà bloccato a causa del superamento del numero di tentativi di accesso non riusciti consecutivi impostato dal Attributo `pwdMaxFailure`. Se il criterio `pwdLockoutDuration` viene impostato su 0, l'account utente rimarrà bloccato finché non viene sbloccata da un amministratore di sistema. Fai riferimento a Sblocco di un account utente. Se `pwdLockoutDuration` è impostato su >0, l'attributo definisce un periodo di tempo durante il quale l'account utente rimarrà bloccato. Allo scadere di questo periodo di tempo, l'account utente verrà automaticamente sbloccato. Consigliamo di impostare questo attributo sullo stesso valore del parametro Attributo `pwdFailureCountInterval`.	300
pwdMaxAge	Numero di secondi dopo il quale la password di un utente (non-sysadmin) scade. Il valore 0 significa che le password non hanno scadenza. Il valore predefinito di 2592000 corrisponde a 30 giorni da al momento della creazione della password.	utente: 2592000 sysadmin: 0
pwdMaxFailure	Numero di tentativi di accesso non riusciti consecutivi dopo i quali non è possibile utilizzare una password autenticare un utente nella directory.	3
pwdMinLength	Specifica il numero minimo di caratteri richiesti per l'impostazione di una password.	8

Sblocco di un account utente

L'account di un utente potrebbe essere bloccato a causa degli attributi impostati nei criteri relativi alle password. Un utente con il ruolo Apigee sysadmin assegnato può utilizzare la seguente chiamata API per sbloccare . Sostituisci userEmail, adminEmail e password con i valori effettivi e i relativi valori.

Per sbloccare un utente:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password

Nota:per assicurarti che solo gli amministratori di sistema possano chiamare questa API, è necessario Il percorso /users/*/status è incluso nel Proprietà conf_security_rbac.restricted.resources per il server di gestione:

cd /opt/apigee/edge-management-server

grep -ri "conf_security_rbac.restricted.resources" *

L'output contiene quanto segue:

token/default.properties:conf_security_rbac.restricted.resources=/environments,/environments/*,/environments/*/virtualhosts,/environments/*/virtualhosts/*,/pods,/environments/*/servers,/rebuildindex,/users/*/status