إدارة السياسة التلقائية لكلمات مرور خدمة LDAP لإدارة واجهة برمجة التطبيقات

يستخدم نظام Apigee بروتوكول OpenLDAP لمصادقة المستخدمين في بيئة إدارة واجهة برمجة التطبيقات. يتيح بروتوكول OpenLDAP وظائف سياسة كلمة مرور LDAP هذه.

يصف هذا القسم طريقة ضبط سياسة كلمة مرور LDAP التلقائية التي تم تسليمها. استخدام هذه المسودة سياسة كلمة المرور لتهيئة الخيارات المتنوعة لمصادقة كلمة المرور، مثل عدد محاولات تسجيل الدخول الفاشلة المتتالية التي لا يمكن بعدها استخدام كلمة مرور لمصادقة المستخدم إلى الدليل.

يصف هذا القسم أيضًا كيفية استخدام اثنين من واجهات برمجة التطبيقات لإتاحة حسابات المستخدمين التي يتم قفله وفقًا للسمات التي تم ضبطها في السياسة التلقائية لكلمات المرور.

للحصول على معلومات إضافية، يُرجى الاطّلاع على:

تهيئة كلمة مرور LDAP الافتراضية السياسة

يوضح هذا القسم كيفية ضبط سياسة كلمة مرور LDAP التلقائية لما يلي:

تهيئة سياسة كلمة مرور LDAP الافتراضية لمستخدمي Edge ومسؤول إدارة النظم الأصلي

لضبط سياسة كلمة مرور LDAP التلقائية لمستخدمي Edge ومشرف النظم الأصلي:

  1. الاتصال بخادم LDAP باستخدام برنامج LDAP، مثل Apache Studio أو ldapmodify من يصغي خادم OpenLDAP الافتراضي على المنفذ 10389 على عقدة OpenLDAP.

    لإجراء الربط، يُرجى تحديد الاسم المميز للربط أو مستخدم cn=manager,dc=apigee,dc=com كلمة مرور OpenLDAP التي أعددتها أثناء تثبيت Edge.

  2. استخدِم البرنامج للانتقال إلى سمات سياسة كلمة المرور لما يلي:
  3. عدِّل قيم سمة سياسة كلمة المرور كما تريد.
  4. احفظ الإعداد.

تكوين سياسة كلمة مرور LDAP لمسؤولي إدارة نظم إضافيين

عند إضافة مستخدمي مشرف النظم إلى Edge، فإنهم يرثون السياسة الافتراضية لكلمة المرور، بدلاً من سياسة كلمة مرور مسؤول إدارة النظم الخاصة بمسؤول إدارة النظم الأصلي. تنتهي صلاحية السياسة التلقائية لكلمة المرور بعد لفترة معينة من الوقت ما لم يتم تكوينها على خلاف ذلك. لضبط إعدادات لكي لا تنتهي صلاحيتها، اتّبِع الخطوات التالية:

  1. ابحث عن جميع مسؤولي إدارة النظم في dn من خلال تنفيذ الأمر التالي: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

    وتعرض النتيجة لمستخدمي مشرف النظم كـ roleOccupant:

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. أنشئ ملفًا جديدًا باسم ppchange.ldif وأضف ما يلي إليه (بدلاً من اسم النطاق مستخدم مسؤول إدارة النظم الخاص): 
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. عدِّل المستخدم عن طريق إدخال الأمر التالي: 
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. تحقَّق من التغيير باستخدام أمر البحث ldap: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

    ستعرض المخرجات إضافة pwdPolicySubentry: 

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  5. كرر الخطوات من 2 إلى 4 لكل مسؤول من مسؤولي إدارة النظم.

سمات سياسة كلمة مرور LDAP التلقائية

السمة الوصف تلقائي 
pwdExpireWarning
 الحد الأقصى لعدد الثواني قبل انتهاء صلاحية كلمة المرور سيتم إرجاع رسائل التحذير إلى المستخدم الذي يقوم بالمصادقة إلى الدليل.

604800

(ما يعادل 7 أيام)

 
pwdFailureCountInterval

عدد الثواني التي يتم بعدها إزالة محاولات الربط المتتالية المتتالية الفاشلة من عدّاد الفشل.

بعبارة أخرى، هذا هو عدد الثواني التي تتم إعادة ضبط محاولات تسجيل الدخول الفاشلة.

إذا تم ضبط pwdFailureCountInterval على 0، يمكن فقط للمصادقة الناجحة أن يعيد تعيين العدّاد.

إذا تم ضبط pwdFailureCountInterval على >0، تحدد السمة المدة التي يتم بعدها عدد مرات تعذُّر تسجيل الدخول المتتالية تتم إعادة تعيين المحاولات تلقائيًا، حتى في حالة عدم حدوث مصادقة ناجحة.

نقترح أن يتم تعيين هذه السمة إلى نفس قيمة pwdLockoutDuration.

 300 
pwdInHistory

الحد الأقصى لعدد كلمات المرور المستخدمة أو السابقة للمستخدم والتي سيتم تخزينها في pwdHistory.

عند تغيير كلمة المرور، سيتم منع المستخدم من تغييرها إلى أي كلمة مرور كلمات المرور السابقة.

 3 
pwdLockout

إذا كانت السمة TRUE، تحدّد على حظر المستخدم عند انتهاء صلاحية كلمة المرور حتى لا يتمكن المستخدم من تسجيل الدخول مرة أخرى.

 خطأ 
pwdLockoutDuration

عدد الثواني التي لا يمكن خلالها استخدام كلمة مرور لمصادقة المستخدم المستحق إلى عدد كبير جدًا من محاولات تسجيل الدخول المتتالية الفاشلة.

بمعنى آخر، هي المدة الزمنية التي يظل خلالها حساب المستخدم تم قفلها بسبب تجاوز عدد محاولات تسجيل الدخول المتتالية الفاشلة التي حددها pwdMaxFailure.

إذا تم ضبط pwdLockoutDuration على 0، سيظل حساب المستخدم مقفلاً. إلى أن يفتح مشرف النظام قفلها

يُرجى الاطّلاع على فتح قفل حساب مستخدم.

إذا pwdLockoutDuration على >0، فإن السمة تحدد المدة التي سيظل فيها حساب المستخدم مُقفل. عند انقضاء هذه الفترة الزمنية، سيتم تحويل حساب المستخدم تلقائيًا مفتوحًا.

نقترح أن يتم تعيين هذه السمة إلى نفس قيمة pwdFailureCountInterval.

 300 
pwdMaxAge

عدد الثواني التي تنتهي بعدها صلاحية كلمة مرور مستخدم (غير مسؤول عن إدارة النظم). القيمة 0 يعني عدم انتهاء صلاحية كلمات المرور. تتوافق القيمة الافتراضية 2592000 مع 30 يومًا من وقت إنشاء كلمة المرور.

المستخدم: 2592000

مشرف النظام: 0

 
pwdMaxFailure

عدد محاولات تسجيل الدخول المتتالية الفاشلة التي لا يمكن استخدام كلمة مرور خلالها مصادقة المستخدم مع الدليل.

 3 
pwdMinLength

تحدِّد هذه السياسة الحد الأدنى من عدد الأحرف المطلوبة عند ضبط كلمة المرور.

 8

إلغاء قفل حساب مستخدم

قد يتم قفل حساب المستخدم بسبب السمات التي تم ضبطها في سياسة كلمة المرور. لنفترض أن هناك مستخدمًا يمكن لدور مسؤول إدارة النظم في Apigee استخدام طلب البيانات من واجهة برمجة التطبيقات التالي لفتح قفل الحساب. استبدال userEmail وadminEmail وpassword بالقيم الفعلية القيم.

لفتح قفل مستخدم:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password