Apigee 시스템은 OpenLDAP를 사용하여 API 관리 환경에서 사용자를 인증합니다. OpenLDAP를 사용하면 이 LDAP 비밀번호 정책 기능을 사용할 수 있습니다.
이 섹션에서는 전송된 기본 LDAP 비밀번호 정책을 구성하는 방법을 설명합니다. 사용 비밀번호 정책을 사용하여 사용자 계정 수와 같은 로그인 시도가 연속으로 실패하면 더 이상 비밀번호를 사용하여 사용자를 디렉터리로 보냅니다
또한 이 섹션에서는 몇 가지 API를 사용하여 이전에 액세스한 사용자 계정을 잠금 해제하는 방법을 설명합니다. 기본 비밀번호 정책에 구성된 속성에 따라 잠금 설정됩니다.
자세한 내용은 다음을 참조하세요.
기본 LDAP 비밀번호 구성 정책
이 섹션에서는 다음에 대한 기본 LDAP 비밀번호 정책을 구성하는 방법을 설명합니다.
Edge 사용자 및 원래 시스템 관리자의 기본 LDAP 비밀번호 정책 구성
Edge 사용자 및 원래 시스템 관리자의 기본 LDAP 비밀번호 정책을 구성하려면 다음 안내를 따르세요.
- Apache Studio 또는 ldapmodify와 같은 LDAP 클라이언트를 사용하여 LDAP 서버에 연결합니다. 작성자:
기본 OpenLDAP 서버는 OpenLDAP 노드의 포트 10389에서 수신 대기합니다.
연결하려면
cn=manager,dc=apigee,dc=com의 바인드 DN 또는 사용자를 지정하고 Edge 설치 시 설정한 OpenLDAP 비밀번호입니다. - 클라이언트를 사용하여 다음에 대한 비밀번호 정책 속성으로 이동합니다.
<ph type="x-smartling-placeholder">
- </ph>
- 에지 사용자:
cn=default,ou=pwpolicies,dc=apigee,dc=com - 원래 Edge 시스템 관리자:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
참고: LDAP 비밀번호를 구성하려면 다음 안내를 따르세요. 추가 시스템 관리자에 대한 정책 (원래 시스템 관리자가 아닌 경우), 추가 시스템 관리자를 위한 LDAP 비밀번호 정책은 아래를 참조하세요.
- 에지 사용자:
- 비밀번호 정책 속성 값을 원하는 대로 수정합니다.
- 구성을 저장합니다.
추가 시스템 관리자를 위한 LDAP 비밀번호 정책 구성
Edge에 시스템 관리자를 추가하면 해당 사용자는 원래 시스템 관리자의 시스템 관리자 비밀번호 정책입니다. 기본 비밀번호 정책은 다음 날짜 이후에 만료됩니다. 별도로 설정하지 않는 한 특정 시간 동안만 광고가 게재됩니다. 추가 시스템 관리자의 사용자 설정 만료되지 않도록 하려면 다음 단계를 따르세요.
- 다음 명령어를 실행하여
dn의 모든 시스템 관리자를 찾습니다.ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base -LLL
출력에서 시스템 관리자가
roleOccupant로 표시됩니다.dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com objectClass: organizationalRole objectClass: top cn: sysadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
ppchange.ldif라는 새 파일을 만들고 다음을 추가합니다( 자체 시스템 관리자 사용자):dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- 다음 명령어를 입력하여 사용자를 수정합니다.
ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
ldap검색 명령어를 사용하여 변경사항을 확인합니다.ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
출력에
pwdPolicySubentry가 추가된 것으로 표시됩니다.dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- 각 시스템 관리자에 대해 2~4단계를 반복합니다.
기본 LDAP 비밀번호 정책 속성
| 속성 | 설명 | 기본값 |
|---|---|---|
pwdExpireWarning |
비밀번호 만료일까지 남은 최대 시간(초) 경고 메시지는 디렉토리에 인증하는 사용자에게 반환됩니다. |
604800 (7일에 해당) |
pwdFailureCountInterval |
이전부터 연이어 실패한 바인드 시도가 영구 삭제되는 데 걸리는 시간(초)입니다. 실패 카운터 즉, 이것은 연속된 셀이 할당되기 전까지 남은 시간(초)입니다. 실패한 로그인 시도가 재설정됩니다.
이 속성은
|
300 |
pwdInHistory |
에 저장될 사용자의 최대 사용 또는 이전 비밀번호
사용자가 자신의 비밀번호를 변경할 경우 다른 사람이 자신의 비밀번호를 변경할 수 없도록 차단됩니다. 이전 비밀번호 |
3 |
pwdLockout |
|
거짓 |
pwdLockoutDuration |
사용자 인증에 비밀번호를 사용할 수 없는 시간(초) 로그인 시도가 너무 많이 실패할 수도 있습니다. 즉, 이 기간은 사용자 계정이 유지되는 기간입니다.
관리자가 설정한 연속으로 로그인 시도 실패 횟수를 초과하여
사용자 계정 잠금 해제를 참고하세요.
이 속성은
|
300 |
pwdMaxAge |
시스템 관리자가 아닌 사용자 비밀번호가 만료되기까지 걸리는 시간 (초)입니다. 값 0 즉, 비밀번호가 만료되지 않습니다. 기본값 2592,000은 비밀번호를 만든 시간 |
사용자: 2592000 시스템 관리자: 0 |
pwdMaxFailure |
연속으로 로그인 시도가 실패한 횟수 이후 비밀번호를 사용할 수 없습니다. 사용자를 인증합니다. |
3 |
pwdMinLength |
비밀번호를 설정할 때 필요한 최소 문자 수를 지정합니다. |
8 |
사용자 계정 잠금 해제
비밀번호 정책에 설정된 속성으로 인해 사용자 계정이 잠길 수 있습니다. 사용자 할당된 sysadmin Apigee 역할은 다음 API 호출을 사용하여 사용자의 있습니다. userEmail, adminEmail, password를 실제 값으로 바꿉니다. 값으로 사용됩니다.
사용자 잠금을 해제하려면 다음 단계를 따르세요.
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password