Il sistema Apigee utilizza OpenLDAP per autenticare gli utenti nell'ambiente di gestione delle API. OpenLDAP rende disponibile questa funzionalità dei criteri delle password LDAP.
Questa sezione descrive come configurare i criteri predefiniti per le password LDAP forniti. Utilizza questo criterio per le password per configurare varie opzioni di autenticazione delle password, ad esempio il numero di tentativi di accesso consecutivi non riusciti dopo i quali una password non può più essere utilizzata per autenticare un utente per la directory.
Questa sezione descrive inoltre come utilizzare un paio di API per sbloccare gli account utente che sono stati bloccati in base agli attributi configurati nel criterio delle password predefinito.
Per ulteriori informazioni, consulta:
Configurazione dei criteri predefiniti per le password LDAP
Questa sezione spiega come configurare i criteri predefiniti per le password LDAP per:
Configurazione dei criteri predefiniti per le password LDAP per gli utenti Edge e l'amministratore di sistema originale
Per configurare i criteri predefiniti per le password LDAP per gli utenti Edge e l'amministratore di sistema originale:
- Connettiti al server LDAP utilizzando un client LDAP, come Apache Studio o ldapmodify. Per impostazione predefinita, il server OpenLDAP rimane in ascolto sulla porta 10389 del nodo OpenLDAP.
Per eseguire la connessione, specifica il Bind DN o l'utente di
cn=manager,dc=apigee,dc=com
e la password OpenLDAP che hai impostato al momento dell'installazione di Edge. - Utilizza il client per accedere agli attributi dei criteri relativi alle password per:
- Utenti Edge:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- L'amministratore di sistema Edge originale:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
Nota: per configurare il criterio della password LDAP per amministratori di sistema aggiuntivi (diversi dall'amministratore di sistema originale), consulta la sezione Configurazione del criterio delle password LDAP per amministratori di sistema aggiuntivi riportata di seguito.
- Utenti Edge:
- Modifica i valori degli attributi dei criteri per le password come preferisci.
- Salva la configurazione.
Configurazione del criterio per le password LDAP per amministratori di sistema aggiuntivi
Quando aggiungi utenti di sysadmin a Edge, questi ereditano il criterio predefinito per le password, anziché quello dell'amministratore di sistema originale. Il criterio predefinito per le password scade dopo un determinato periodo di tempo, a meno che non venga configurato diversamente. Per impostare i criteri per le password degli utenti degli amministratori di sistema aggiuntivi in modo che non scadano, procedi nel seguente modo:
- Trova tutti gli amministratori di sistema (
dn
) eseguendo questo comando:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base -LLL
L'output mostra gli utenti amministratore di sistema come
roleOccupant
:dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com objectClass: organizationalRole objectClass: top cn: sysadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
- Crea un nuovo file denominato
ppchange.ldif
e aggiungi il seguente file (sostituendo il nome del tuo utente amministratore di sistema):dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Modifica l'utente inserendo il seguente comando:
ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
- Verifica la modifica con il comando di ricerca
ldap
:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
L'output mostrerebbe l'aggiunta di
pwdPolicySubentry
:dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Ripeti i passaggi da 2 a 4 per ciascun amministratore di sistema.
Attributi dei criteri predefiniti per le password LDAP
Attributo | Descrizione | Predefinito |
---|---|---|
pwdExpireWarning |
Il numero massimo di secondi prima che una password scada, durante il quale verranno restituiti messaggi di avviso di scadenza a un utente che esegue l'autenticazione nella directory. |
604800 (Equivalente a 7 giorni) |
pwdFailureCountInterval |
Numero di secondi dopo i quali i vecchi tentativi di associazione non riusciti consecutivi vengono eliminati definitivamente dal contatore degli errori. In altre parole, si tratta del numero di secondi dopo i quali viene reimpostato il numero di tentativi di accesso non riusciti consecutivi. Se Se Ti consigliamo di impostare questo attributo sullo stesso valore dell'attributo |
300 |
pwdInHistory |
Numero massimo di password utilizzate, o passate, per un utente che verrà archiviato nell'attributo Quando si cambia la password, all'utente viene impedito di passare a una qualsiasi delle password precedenti. |
3 |
pwdLockout |
Se |
falso |
pwdLockoutDuration |
Numero di secondi durante i quali non è possibile utilizzare una password per autenticare l'utente a causa di troppi tentativi di accesso non riusciti consecutivi. In altre parole, si tratta del periodo di tempo durante il quale un account utente rimarrà bloccato a causa del superamento del numero di tentativi di accesso non riusciti consecutivi impostato dall'attributo Se Vedi Sblocco di un account utente. Se Ti consigliamo di impostare questo attributo sullo stesso valore dell'attributo |
300 |
pwdMaxAge |
Numero di secondi dopo i quali scade la password di un utente (non amministratore di sistema). Il valore 0 indica che le password non scadono. Il valore predefinito 2592000 corrisponde a 30 giorni dalla creazione della password. |
utente: 2592000 amministratore di sistema: 0 |
pwdMaxFailure |
Numero di tentativi di accesso non riusciti consecutivi dopo i quali non è possibile utilizzare una password per autenticare un utente alla directory. |
3 |
pwdMinLength |
Consente di specificare il numero minimo di caratteri richiesti per l'impostazione di una password. |
8 |
Sblocco di un account utente
L'account di un utente potrebbe essere bloccato a causa degli attributi impostati nel criterio relativo alle password. Un utente con il ruolo Apigee sysadmin assegnato può utilizzare la seguente chiamata API per sbloccare l'account dell'utente. Sostituisci userEmail, adminEmail e password con valori reali.
Per sbloccare un utente:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password