ניהול מדיניות ברירת המחדל של סיסמת LDAP לניהול ממשק API

מערכת Apigee משתמשת ב-OpenLDAP כדי לאמת משתמשים בסביבת ניהול ה-API. התכונה OpenLDAP הופכת את הפונקציונליות של מדיניות הסיסמאות של LDAP לזמינה.

בקטע הזה מוסבר איך להגדיר את מדיניות ברירת המחדל לסיסמאות של LDAP. שימוש בטיוטה הזו למדיניות בנושא סיסמאות כדי להגדיר אפשרויות שונות לאימות סיסמאות, כמו מספר רצף של ניסיונות התחברות כושלים ולאחר מכן לא ניתן יהיה עוד להשתמש בסיסמה כדי לאמת לספרייה.

הקטע הזה גם מתאר איך להשתמש בכמה ממשקי API כדי לקבל גישה לחשבונות משתמשים נעולה בהתאם למאפיינים שהוגדרו במדיניות ברירת המחדל של הסיסמה.

מידע נוסף זמין במאמרים הבאים:

הגדרת סיסמת ברירת המחדל של LDAP מדיניות

בקטע הזה מוסבר איך להגדיר את מדיניות ברירת המחדל של סיסמאות LDAP עבור:

הגדרת מדיניות ברירת המחדל של סיסמאות LDAP למשתמשי Edge ולמערכת האדמין המקורית

כדי להגדיר את מדיניות ברירת המחדל של סיסמאות LDAP למשתמשי Edge ולמערכת האדמין המקורית:

  1. התחבר לשרת ה-LDAP שלך באמצעות לקוח LDAP, כמו Apache Studio או ldapmodify. על ידי שרת OpenLDAP שמוגדר כברירת מחדל מאזין ביציאה 10389 בצומת OpenLDAP.

    כדי להתחבר, מציינים את ה-DN Bind או המשתמש של cn=manager,dc=apigee,dc=com ואת פתיחת הסיסמה שנבחרה בזמן התקנת Edge.

  2. משתמשים בלקוח כדי לעבור למאפייני המדיניות בנושא סיסמה עבור:
  3. עורכים את ערכי המאפיינים של המדיניות בנושא סיסמה לפי הצורך.
  4. שומרים את ההגדרות האישיות.

הגדרת מדיניות LDAP לסיסמאות עבור מנהלי מערכת נוספים

כשמוסיפים משתמשים עם הרשאת אדמין ל-Edge, הם יורשים את מדיניות ברירת המחדל לסיסמאות, ולא ל-Edge המדיניות של מנהל המערכת של האדמין המקורי. התוקף של מדיניות ברירת המחדל לסיסמאות פג אחרי פרק זמן מסוים, אלא אם הוגדר אחרת. כדי להגדיר את המשתמשים הנוספים במערכת ניהול המדיניות בנושא סיסמאות כך שהתוקף שלה לא יפוג, יש לפעול לפי השלבים הבאים:

  1. כדי למצוא את כל dn ה-sysAdmin, מריצים את הפקודה הבאה: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

    בפלט מוצג שמשתמשי ה-sysadmin בתור roleOccupant:

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. יצירת קובץ חדש בשם ppchange.ldif והוספת הערכים הבאים אליו (החלפת ה-DNS של מנהל מערכת): 
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. כדי לשנות את המשתמש, מזינים את הפקודה הבאה: 
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. מאמתים את השינוי באמצעות פקודת החיפוש ldap: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

    בפלט יוצג הוספה של pwdPolicySubentry: 

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  5. חוזרים על שלבים 2 עד 4 עבור כל מערכת אדמין.

מאפייני מדיניות סיסמאות שמוגדרים כברירת מחדל ב-LDAP

מאפיין תיאור ברירת מחדל 
pwdExpireWarning
 מספר השניות המקסימלי עד לפקיעת התוקף של הסיסמה הודעות אזהרה יוחזרו למשתמש שמאמת את הספרייה.

604800

(שווה ערך ל-7 ימים)

 
pwdFailureCountInterval

מספר השניות שאחריהן ניסיונות כושלים ישנים שנכשלו נמחקים באופן סופי מפני כשלים.

במילים אחרות, זהו מספר השניות שאחריהן המספר של ניסיונות התחברות שנכשלו יאופסו.

אם הערך של pwdFailureCountInterval הוא 0, רק אימות מוצלח יכול לאפס את המונה.

אם המדיניות pwdFailureCountInterval מוגדרת לערך גדול מ-0, המאפיין מגדיר משך זמן שאחריו יש כמה ניסיונות התחברות שנכשלו: מתבצע איפוס אוטומטי של ניסיונות, גם אם לא בוצע אימות בהצלחה.

מומלץ להגדיר את המאפיין הזה עם אותו ערך כמו מאפיין pwdLockoutDuration.

 300 
pwdInHistory

המספר המקסימלי של סיסמאות בשימוש או סיסמאות קודמות, שיישמרו מאפיין pwdHistory.

לאחר שינוי הסיסמה, המשתמש ייחסם ולא יוכל לשנות אותה לאחת מהן סיסמאות מהעבר.

 3 
pwdLockout

אם הערך הוא TRUE, הערך מציין לנעול משתמש כשפג תוקף הסיסמה שלו, כך שהוא לא יכול יותר להתחבר.

 לא נכון 
pwdLockoutDuration

מספר השניות שבמהלכן לא ניתן להשתמש בסיסמה כדי לאמת את המשתמש, יותר מדי ניסיונות התחברות כושלים רצופים.

במילים אחרות, זהו משך הזמן שבמהלכו חשבון משתמש יישאר ננעלה בגלל חריגה ממספר ניסיונות ההתחברות הלא רציפים שהוגדרו על ידי מאפיין pwdMaxFailure.

אם הערך של pwdLockoutDuration הוא 0, חשבון המשתמש יישאר נעול עד שמנהל מערכת יבטל את הנעילה.

לפרטים, ראו ביטול נעילה של חשבון משתמש.

אם pwdLockoutDuration מוגדר כ->0, המאפיין מגדיר משך זמן שבו חשבון המשתמש יישאר נעול. לאחר פרק הזמן הזה, חשבון המשתמש יוגדר אוטומטית לא נעול.

מומלץ להגדיר את המאפיין הזה עם אותו ערך כמו מאפיין pwdFailureCountInterval.

 300 
pwdMaxAge

מספר השניות שאחריהן פג התוקף של סיסמת משתמש (שאינו אדמין). הערך 0 כלומר, אין תאריך תפוגה של סיסמאות. ערך ברירת המחדל של 2592,000 תואם ל-30 ימים מ- השעה שבה נוצרה הסיסמה.

user: 2592000

sysadmin: 0

 
pwdMaxFailure

מספר ניסיונות ההתחברות שנכשלו ולאחר מכן לא ניתן היה להשתמש בסיסמה כדי לאמת משתמש בספרייה.

 3 
pwdMinLength

מציינת את מספר התווים המינימלי שנדרש כשמגדירים סיסמה.

 8

ביטול נעילה של חשבון משתמש

יכול להיות שחשבון משתמש יינעל בגלל מאפיינים שהוגדרו במדיניות הסיסמה. משתמש עם תפקיד ה-sysadmin Apigee יכול להשתמש בקריאה הבאה ל-API כדי לבטל את הנעילה של חשבון. מחליפים את userEmail, adminEmail ו-password בערכים עצמם ערכים.

כדי לבטל נעילה של משתמש:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password