Apigee 시스템은 OpenLDAP를 사용해 API 관리 환경에서 사용자를 인증합니다. OpenLDAP는 이 LDAP 비밀번호 정책 기능을 사용할 수 있도록 합니다.
이 섹션에서는 전송된 기본 LDAP 비밀번호 정책을 구성하는 방법을 설명합니다. 이 비밀번호 정책을 사용하여 다양한 비밀번호 인증 옵션(예: 연속 로그인 시도 실패 횟수, 이후 비밀번호를 사용하여 사용자를 디렉터리에 인증할 수 없음)을 구성할 수 있습니다.
이 섹션에서는 몇 가지 API를 사용하여 기본 비밀번호 정책에 구성된 속성에 따라 잠긴 사용자 계정을 잠금 해제하는 방법도 설명합니다.
자세한 내용은 다음을 참조하세요.
기본 LDAP 비밀번호 정책 구성
이 섹션에서는 다음에 대해 기본 LDAP 비밀번호 정책을 구성하는 방법을 설명합니다.
Edge 사용자 및 기존 시스템 관리자의 기본 LDAP 비밀번호 정책 구성
Edge 사용자 및 원래 시스템 관리자의 기본 LDAP 비밀번호 정책을 구성하려면 다음 안내를 따르세요.
- Apache Studio 또는 ldapmodify와 같은 LDAP 클라이언트를 사용하여 LDAP 서버에 연결합니다. 기본적으로 OpenLDAP 서버는 OpenLDAP 노드의 포트 10389에서 수신 대기합니다.
연결하려면 Bind DN 또는
cn=manager,dc=apigee,dc=com
의 사용자와 Edge 설치 시 설정한 OpenLDAP 비밀번호를 지정합니다. - 클라이언트를 사용하여 다음의 비밀번호 정책 속성으로 이동합니다.
- 에지 사용자:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- 원본 Edge 시스템 관리자:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
참고: 추가 시스템 관리자 (원래 시스템 관리자 제외)의 LDAP 비밀번호 정책을 구성하려면 추가 시스템 관리자를 위한 LDAP 비밀번호 정책 구성을 참고하세요.
- 에지 사용자:
- 비밀번호 정책 속성 값을 원하는 대로 수정합니다.
- 구성을 저장합니다.
추가 시스템 관리자를 위한 LDAP 비밀번호 정책 구성
시스템 관리자를 Edge에 추가하면 원래 시스템 관리자의 비밀번호 정책이 아닌 기본 비밀번호 정책을 상속합니다. 별도로 구성하지 않는 한 기본 비밀번호 정책은 일정 시간이 지나면 만료됩니다. 만료되지 않도록 추가 시스템 관리자의 비밀번호 정책을 설정하려면 다음 단계를 따르세요.
-
ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base -LLL
명령어를 실행하여 모든 시스템 관리자의dn
를 찾습니다.출력에 시스템 관리자 사용자가
roleOccupant
로 표시됩니다.dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com objectClass: organizationalRole objectClass: top cn: sysadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
ppchange.ldif
라는 새 파일을 만들고 다음을 추가하여 시스템 관리자의 dn을 바꿉니다.dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- 다음 명령어를 입력하여 사용자를 수정합니다.
ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
ldap
검색 명령어ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
를 사용하여 변경사항을 확인합니다.출력에
pwdPolicySubentry
가 추가된 것으로 표시됩니다.dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- 각 시스템 관리자에 대해 2~4단계를 반복합니다.
기본 LDAP 비밀번호 정책 속성
속성 | 설명 | 기본 계정 |
---|---|---|
pwdExpireWarning |
비밀번호가 만료되기 전까지 남은 최대 시간(초)으로, 디렉터리에 인증하는 사용자에게 만료 경고 메시지가 반환됩니다. |
604800 (7일 동안) |
pwdFailureCountInterval |
이전에 연속으로 실패한 바인드 시도가 실패 카운터에서 삭제되기까지 경과한 시간(초)입니다. 즉, 이 시간은 연속 로그인 시도 실패 횟수가 재설정되기까지의 시간(초)입니다.
이 속성은 |
300 |
pwdInHistory |
비밀번호를 변경하면 사용자는 이전 비밀번호로 변경할 수 없습니다. |
3 |
pwdLockout |
|
거짓 |
pwdLockoutDuration |
연속 로그인 시도가 너무 많아 사용자를 인증하는 데 비밀번호를 사용할 수 없는 시간(초)입니다. 즉,
사용자 계정 잠금 해제를 참조하세요.
이 속성은 |
300 |
pwdMaxAge |
시스템 관리자가 아닌 사용자의 비밀번호가 만료되기까지 걸리는 시간 (초)입니다. 값이 0이면 비밀번호가 만료되지 않습니다. 기본값 2592000은 비밀번호가 생성된 시점으로부터 30일에 해당합니다. |
사용자: 2592000 시스템 관리자: 0 |
pwdMaxFailure |
디렉터리에 사용자를 인증하는 데 비밀번호를 사용할 수 없게 된 후 연속 로그인 시도 실패 횟수. |
3 |
pwdMinLength |
비밀번호를 설정할 때 필요한 최소 문자 수를 지정합니다. |
8 |
사용자 계정 잠금 해제
비밀번호 정책에 설정된 속성으로 인해 사용자 계정이 잠길 수 있습니다. 시스템 관리자 Apigee 역할이 할당된 사용자는 다음 API 호출을 사용하여 사용자 계정을 잠금 해제할 수 있습니다. userEmail, adminEmail, password를 실제 값으로 바꿉니다.
사용자 잠금을 해제하려면 다음 단계를 따르세요.
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password