Diese Seite wurde von der Cloud Translation API übersetzt.

Standardmäßige LDAP-Passwortrichtlinie für die API-Verwaltung

Das Apigee-System verwendet OpenLDAP, um Nutzer in Ihrer API-Verwaltungsumgebung zu authentifizieren. OpenLDAP stellt diese Funktionalität der LDAP-Passwortrichtlinie zur Verfügung.

In diesem Abschnitt wird beschrieben, wie die übermittelte LDAP-Standardpasswort-Richtlinie konfiguriert wird. Verwenden Passwortrichtlinie, um verschiedene Optionen für die Passwortauthentifizierung zu konfigurieren, z. B. die Anzahl der aufeinanderfolgende fehlgeschlagene Anmeldeversuche, nach denen kein Passwort mehr zur Authentifizierung eines Nutzer zum Verzeichnis hinzufügen.

In diesem Abschnitt wird auch beschrieben, wie Sie mithilfe einiger APIs Nutzerkonten entsperren, die gemäß den in der Standard-Passwortrichtlinie konfigurierten Attributen gesperrt.

Weitere Informationen finden Sie unter:

Standard-LDAP-Passwort konfigurieren Richtlinie

In diesem Abschnitt wird erläutert, wie Sie die Standard-LDAP-Passwortrichtlinie konfigurieren für:

Edge-Nutzer und der ursprüngliche Systemadministrator
Zusätzliche Systemadministratoren

Konfigurieren der Standard-LDAP-Passwortrichtlinie für Edge-Nutzer und den ursprünglichen Systemadministrator

So konfigurieren Sie die standardmäßige LDAP-Passwortrichtlinie für Edge-Nutzer und den ursprünglichen Systemadministrator:

Stellen Sie mithilfe eines LDAP-Clients wie Apache Studio oder ldapmodify eine Verbindung zu Ihrem LDAP-Server her. Von Der standardmäßige OpenLDAP-Server überwacht Port 10389 auf dem OpenLDAP-Knoten.
Geben Sie zum Herstellen einer Verbindung den Bind-DN oder den Nutzer von cn=manager,dc=apigee,dc=com und den OpenLDAP-Passwort, das Sie bei der Edge-Installation festgelegt haben.
Verwenden Sie den Client, um die Passwortrichtlinienattribute für Folgendes aufzurufen: <ph type="x-smartling-placeholder">
- Edge-Nutzer: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Ursprünglicher Edge-Systemadministrator: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  Hinweis:Um das LDAP-Passwort zu konfigurieren, für zusätzliche Systemadministratoren (mit Ausnahme des ursprünglichen Systemadministrators), den Das Konfigurieren der LDAP-Passwortrichtlinie für zusätzliche Systemadministratoren unten.
Bearbeiten Sie die Attributwerte der Passwortrichtlinie nach Bedarf.
Speichern Sie die Konfiguration.

LDAP-Passwortrichtlinie für zusätzliche Systemadministratoren konfigurieren

Wenn Sie Systemadministrator-Nutzer zu Edge hinzufügen, übernehmen diese die Standard-Passwortrichtlinie, Systemadministrator-Passwortrichtlinie des ursprünglichen Systemadministrators Die Standard-Passwortrichtlinie läuft ab nach dem über einen bestimmten Zeitraum, sofern nicht anders konfiguriert. Zusätzliche „sysadmin“-Nutzer die Passwortrichtlinie so vor, dass sie nicht ablaufen:

Führen Sie den folgenden Befehl aus, um dn (alle Systemadministratoren) zu ermitteln:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

In der Ausgabe werden die Nutzer „sysadmin“ als roleOccupant angezeigt:

dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com

Erstellen Sie eine neue Datei mit dem Namen ppchange.ldif und fügen Sie Folgendes hinzu. Ersetzen Sie dabei den DN Ihres eigener Systemadministrator):

dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Ändern Sie den Nutzer mit dem folgenden Befehl:

ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif

Prüfen Sie die Änderung mit dem Suchbefehl ldap:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

Die Ausgabe würde die Hinzufügung von pwdPolicySubentry anzeigen:

dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Wiederholen Sie die Schritte 2 bis 4 für jeden Systemadministrator.

Attribute der LDAP-Standardpasswortrichtlinie

Attribut	Beschreibung	Standard
pwdExpireWarning	Die maximale Anzahl von Sekunden, bevor ein Passwort abläuft. Warnungen werden an einen Nutzer zurückgegeben, der sich beim Verzeichnis authentifiziert.	604800 (entspricht 7 Tagen)
pwdFailureCountInterval	Anzahl der Sekunden, nach denen alte, aufeinanderfolgende fehlgeschlagene Bindungsversuche dauerhaft aus dem Fehlerzähler. Mit anderen Worten, dies ist die Anzahl der Sekunden, nach denen die Anzahl der aufeinanderfolgenden fehlgeschlagene Anmeldeversuche zurückgesetzt. Wenn `pwdFailureCountInterval` auf 0 gesetzt ist, nur eine erfolgreiche Authentifizierung kann den Zähler zurücksetzen. Wenn `pwdFailureCountInterval` auf > 0 definiert, definiert das Attribut einen Zeitraum, nach dem die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldungen gezählt wird. wird automatisch zurückgesetzt, auch wenn keine Authentifizierung erfolgreich war. Es wird empfohlen, für dieses Attribut denselben Wert wie für das Attribut Attribut „`pwdLockoutDuration`“.	300
pwdInHistory	Maximale Anzahl der verwendeten oder vergangenen Passwörter für einen Nutzer, die im Attribut „`pwdHistory`“. Wenn der Nutzer sein Passwort ändert, kann er es nicht in eines ihrer eigenen ändern frühere Passwörter verwenden.	3
pwdLockout	Wenn `TRUE`, gibt an, Sie können einen Nutzer sperren, wenn sein Passwort abläuft, damit er sich nicht mehr anmelden kann.	Falsch
pwdLockoutDuration	Anzahl der Sekunden, in denen kein Passwort zur Authentifizierung des fälligen Nutzers verwendet werden kann zu viele fehlgeschlagene Log-in-Versuche hintereinander. Mit anderen Worten, dies ist der Zeitraum, in dem ein Nutzerkonto gesperrt, da die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche überschritten wurde, die vom Attribut „`pwdMaxFailure`“. Wenn `pwdLockoutDuration` auf 0 gesetzt ist, bleibt das Nutzerkonto gesperrt wenn es von einem Systemadministrator entsperrt wird. Weitere Informationen finden Sie unter Nutzerkonto entsperren. Wenn `pwdLockoutDuration` auf >0 gesetzt ist, definiert das Attribut eine Dauer, für die das Nutzerkonto verbleibt. gesperrt. Nach Ablauf dieses Zeitraums wird das Nutzerkonto automatisch entriegelt. Es wird empfohlen, für dieses Attribut denselben Wert wie für das Attribut Attribut „`pwdFailureCountInterval`“.	300
pwdMaxAge	Anzahl der Sekunden, nach denen das Passwort eines Nutzers (kein Systemadministrator) abläuft. Ein Wert von 0 bedeutet, dass Passwörter nicht ablaufen. Der Standardwert von 2592.000 entspricht 30 Tagen Zeitpunkt der Passworterstellung.	Nutzer: 2592000 Systemadmin: 0
pwdMaxFailure	Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche, nach denen kein Passwort mehr verwendet werden darf. einen Nutzer beim Verzeichnis zu authentifizieren.	3
pwdMinLength	Gibt die Mindestanzahl von Zeichen an, die beim Festlegen eines Passworts erforderlich ist.	8

Nutzerkonto entsperren

Das Konto eines Nutzers kann aufgrund von Attributen, die in der Passwortrichtlinie festgelegt sind, gesperrt sein. Ein Nutzer mit kann die zugewiesene Apigee-Rolle „sysadmin“ mit dem folgenden API-Aufruf die Berechtigung des Nutzers entsperren Konto. Ersetzen Sie userEmail, adminEmail und password durch den tatsächlichen Wert Werte.

So entsperren Sie einen Nutzer:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password

</ph> Hinweis:Damit nur Systemadministratoren diese API aufrufen können, muss der Parameter Der Pfad /users/*/status ist enthalten in conf_security_rbac.restricted.resources-Eigenschaft für den Verwaltungsserver ein:

cd /opt/apigee/edge-management-server

grep -ri "conf_security_rbac.restricted.resources" *

Die Ausgabe enthält Folgendes:

token/default.properties:conf_security_rbac.restricted.resources=/environments,/environments/*,/environments/*/virtualhosts,/environments/*/virtualhosts/*,/pods,/environments/*/servers,/rebuildindex,/users/*/status