Apigee 系统使用 OpenLDAP 在您的 API 管理环境中对用户进行身份验证。 OpenLDAP 提供此 LDAP 密码政策功能。
本部分介绍如何配置递送的默认 LDAP 密码政策。使用此 密码政策,用于配置各种密码身份验证选项,例如 次登录失败,达到此上限后,就不能再使用密码验证 将用户添加到目录。
本部分还介绍了如何使用若干 API 来解锁 根据默认密码政策中配置的属性锁定密码。
如需了解详情,请参阅:
配置默认 LDAP 密码 政策
本部分介绍了如何为以下各项配置默认 LDAP 密码政策:
为 Edge 用户和原始系统管理员配置默认 LDAP 密码政策
要为 Edge 用户和原来的系统管理员配置默认的 LDAP 密码政策,请执行以下操作:
- 使用 LDAP 客户端(如 Apache Studio 或 ldapmodify)连接到 LDAP 服务器。修改者
默认 OpenLDAP 服务器会监听 OpenLDAP 节点上的端口 10389。
如需进行连接,请指定
cn=manager,dc=apigee,dc=com
的 Bind DN 或用户,以及 您在安装 Edge 时设置的 OpenLDAP 密码。 - 使用客户端前往以下项的密码政策属性:
<ph type="x-smartling-placeholder">
- </ph>
- Edge 用户:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- 原始 Edge 系统管理员:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
注意:要配置 LDAP 密码,请按以下步骤操作: 其他系统管理员(除原来的系统管理员)时, 配置 其他系统管理员的 LDAP 密码政策。
- Edge 用户:
- 根据需要修改密码政策属性值。
- 保存配置。
为其他系统管理员配置 LDAP 密码政策
将系统管理员用户添加到 Edge 后,他们将继承默认密码政策,而不是 原始系统管理员的系统管理员密码政策。默认密码政策的有效期晚于 特定时间(除非另有配置)。要设置其他系统管理员用户的 密码政策以使其永不过期,请按以下步骤操作:
- 运行以下命令来查找
dn
所有系统管理员:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base -LLL
输出结果将系统管理员用户显示为
roleOccupant
:dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com objectClass: organizationalRole objectClass: top cn: sysadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
- 新建一个名为
ppchange.ldif
的文件,并将以下内容添加到该文件中(替换掉 自己的系统管理员用户):dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- 输入以下命令来修改用户:
ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
- 使用
ldap
搜索命令验证更改:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
输出将显示
pwdPolicySubentry
的添加:dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- 对每位系统管理员重复第 2 步到第 4 步。
默认 LDAP 密码政策属性
属性 | 说明 | 默认 |
---|---|---|
pwdExpireWarning |
密码到期前的最多秒数 系统会向对目录进行身份验证的用户返回警告消息。 |
604800 (相当于 7 天) |
pwdFailureCountInterval |
间隔的秒数后,之前连续失败的绑定尝试会从 失败计数器。 换言之,这指的是连续的 会重置失败的登录尝试。 如果 如果 我们建议将该属性设置为与
|
300 |
pwdInHistory |
将存储在
更改密码时,用户将无法更改自己的任何密码 密码。 |
3 |
pwdLockout |
如果为 |
错误 |
pwdLockoutDuration |
在指定期限内无法使用密码验证用户身份的秒数 导致连续失败的登录尝试次数过多。 换言之,就是用户账号将保持有效状态的时长
因为超出
如果 请参阅解锁用户账号。 如果 我们建议将该属性设置为与
|
300 |
pwdMaxAge |
用户(非系统管理员)密码过期的秒数。值为 0 表示密码不会过期。默认值 2592000 对应 30 天 创建密码。 |
用户:2592000 系统管理员:0 |
pwdMaxFailure |
连续失败的登录尝试次数,达到此次数后就无法再使用密码 验证用户身份到目录 |
3 |
pwdMinLength |
指定设置密码时要求的最少字符数。 |
8 |
解锁用户账号
用户的账号可能会因密码政策中设置的属性而被锁定。用户 分配的系统管理员 Apigee 角色可以使用以下 API 调用来解锁用户的 。将 userEmail、adminEmail 和 password 替换为实际值 值。
如需解锁用户,请执行以下操作:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password