Como gerenciar a política de senha LDAP padrão para o gerenciamento de APIs

O sistema da Apigee usa o OpenLDAP para autenticar usuários no ambiente de gerenciamento de APIs. O OpenLDAP disponibiliza essa funcionalidade de política de senha do LDAP.

Esta seção descreve como configurar a política de senha do LDAP padrão enviada. Usar política de senha para configurar várias opções de autenticação de senha, como o número de tentativas de login malsucedidas consecutivas após as quais uma senha não pode mais ser usada para autenticar um usuário ao diretório.

Esta seção também descreve como usar algumas APIs para desbloquear contas de usuário que foram bloqueada de acordo com atributos configurados na política de senha padrão.

Para mais informações, consulte:

Como configurar a senha LDAP padrão política

Esta seção explica como configurar a política de senha LDAP padrão para:

Como configurar a política de senha LDAP padrão para usuários do Edge e o sysadmin original

Para configurar a política de senha padrão do LDAP para usuários do Edge e o sysadmin original:

  1. Conecte-se ao servidor LDAP usando um cliente LDAP, como o Apache Studio ou o ldapmodify. De o servidor OpenLDAP padrão escuta na porta 10389 do nó do OpenLDAP.

    Para se conectar, especifique o DN de vinculação ou o usuário de cn=manager,dc=apigee,dc=com e os Senha do OpenLDAP definida no momento da instalação do Edge.

  2. Use o cliente para navegar até os atributos de política de senha para:
    • Usuários de borda: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • O sysadmin original do Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
      Observação: para configurar a senha LDAP política para administradores de sistemas adicionais (exceto o administrador de sistema original), a Como configurar o Política de senha LDAP para outros sysadmins abaixo.
  3. Edite os valores do atributo de política de senha como quiser.
  4. Salve a configuração.

Como configurar a política de senha LDAP para mais administradores de sistema

Quando você adiciona usuários sysadmin ao Edge, eles herdam a política de senha padrão em vez a política de senha sysadmin do administrador original. A política de senha padrão expira após por um determinado período, a menos que o contrário seja configurado. Para definir as permissões adicionais dos usuários política de senha para que ela não expire, siga estas etapas:

  1. Encontre todos os dn sysadmins executando este comando:
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
     -LLL

    A saída mostra os usuários do sysadmin como roleOccupant:

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
    objectClass: organizationalRole
    objectClass: top
    cn: sysadmin
    roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
    roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. Crie um novo arquivo chamado ppchange.ldif e adicione o seguinte a ele (substituindo o dn do seu próprio usuário sysadmin):
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
    changetype: modify
    add: pwdPolicySubentry
    pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. Para modificar o usuário, digite o seguinte comando:
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. Verifique a mudança com o comando de pesquisa ldap:
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

    A saída mostraria a adição de pwdPolicySubentry:

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
    pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  5. Repita as etapas 2 a 4 para cada sysadmin.

Atributos da política de senha LDAP padrão

Atributo Descrição Padrão
pwdExpireWarning
O número máximo de segundos para a expiração de uma senha mensagens de aviso serão retornadas para um usuário que esteja fazendo a autenticação no diretório.

604800

(equivalente a 7 dias)

pwdFailureCountInterval

Número de segundos após os quais as tentativas de vinculação com falha consecutivas antigas são limpas do contagem de falhas.

Em outras palavras, é o número de segundos após o qual a contagem de entradas tentativas de login malsucedidas é redefinida.

Se pwdFailureCountInterval for definido como 0, somente uma autenticação bem-sucedida poderá redefinir o contador.

Se pwdFailureCountInterval for definido como >0, o atributo define um período após o qual a contagem de tentativas de login com falha consecutivas de tentativas é redefinida automaticamente, mesmo que não tenha ocorrido nenhuma autenticação.

Sugerimos que esse atributo seja definido com o mesmo valor do atributo pwdLockoutDuration.

300
pwdInHistory

Número máximo de senhas usadas, ou antigas, de um usuário que serão armazenadas no pwdHistory.

Ao alterar a senha, o usuário será impedido de mudá-la para qualquer uma das senhas antigas.

3
pwdLockout

Se TRUE, especifica para bloquear um usuário quando a senha expirar para que ele não possa mais fazer login.

Falso
pwdLockoutDuration

Número de segundos em que uma senha não pode ser usada para autenticar o usuário devido muitas tentativas consecutivas de login malsucedidas.

Em outras palavras, é o tempo que uma conta de usuário permanece bloqueado porque excedeu o número de tentativas de login malsucedidas consecutivas definidas pelo pwdMaxFailure.

Se pwdLockoutDuration for definido como 0, a conta do usuário vai permanecer bloqueada até que um administrador do sistema o desbloqueie.

Consulte Como desbloquear uma conta de usuário.

Se pwdLockoutDuration for definido como >0, o atributo vai definir por quanto tempo a conta do usuário bloqueada. Quando esse período terminar, a conta do usuário será desbloqueado.

Sugerimos que esse atributo seja definido com o mesmo valor do atributo pwdFailureCountInterval.

300
pwdMaxAge

Número de segundos após o qual uma senha de usuário (não administrador do sistema) expira. Um valor de 0 significa que as senhas não expiram. O valor padrão de 2592000 corresponde a 30 dias a hora em que a senha foi criada.

Usuário: 2592000

sysadmin: 0

pwdMaxFailure

Número de tentativas de login malsucedidas consecutivas após o qual uma senha não pode ser usada para autenticar um usuário no diretório.

3
pwdMinLength

Especifica o número mínimo de caracteres necessários ao definir uma senha.

8

Como desbloquear uma conta de usuário

A conta de um usuário pode ser bloqueada devido a atributos definidos na política de senha. Um usuário com o papel sysadmin da Apigee atribuído pode usar a seguinte chamada de API para desbloquear o do Compute Engine. Substitua userEmail, adminEmail e password pelos valores reais. e a distribuição dos valores dos dados.

Para desbloquear um usuário:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password