Bu sayfa, Cloud Translation API ile çevrilmiştir.

API yönetimi için varsayılan LDAP şifre politikasını yönetme

Apigee sistemi, API yönetimi ortamınızdaki kullanıcıların kimliğini doğrulamak için OpenLDAP'yi kullanır. OpenLDAP, bu LDAP şifre politikası işlevini kullanılabilir hale getirir.

Bu bölümde, teslim edilen varsayılan LDAP şifresi politikasının nasıl yapılandırılacağı açıklanmaktadır. Bunu kullan şifre politikası; e-posta adresi gibi çeşitli şifre kimlik doğrulama seçeneklerini yapılandırmak için bir şifrenin, kimlik doğrulaması için kullanılamaz hale gelmesine rağmen, art arda başarısız kullanıcıyı dizine ekler.

Bu bölümde ayrıca, ziyaret edilen kullanıcı hesaplarının kilidini açmak için birkaç API'nin varsayılan şifre politikasında yapılandırılan özelliklere göre kilitlenir.

Ek bilgi için:

Varsayılan LDAP şifresini yapılandırma politika

Bu bölümde, aşağıdakiler için varsayılan LDAP şifresi politikasının nasıl yapılandırılacağı açıklanmaktadır:

Edge kullanıcıları ve orijinal sistem yöneticisi
Ek sistem yöneticileri

Edge kullanıcıları ve orijinal sistem yöneticisi için varsayılan LDAP şifresi politikasını yapılandırma

Edge kullanıcıları ve orijinal sistem yöneticisi için varsayılan LDAP şifresi politikasını yapılandırmak üzere:

LDAP sunucunuza Apache Studio veya LDAPmodify gibi bir LDAP istemcisi kullanarak bağlanın. Ölçüt varsayılan OpenLDAP sunucusu, OpenLDAP düğümündeki 10389 numaralı bağlantı noktasından dinleme yapar.
Bağlanmak için Bind DN veya kullanıcısını (cn=manager,dc=apigee,dc=com) ve Edge yüklemesi sırasında ayarladığınız OpenLDAP şifresi.
İstemciyi kullanarak aşağıdakiler için şifre politikası özelliklerine gidin:
- Edge kullanıcıları: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Orijinal Edge sistem yöneticisi: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  Not: LDAP şifresini yapılandırmak için politika yöneticisinin (orijinal sistem yöneticisi dışında) bulunduğu durumlara Ek sistem yöneticileri için LDAP şifresi politikası aşağıda verilmiştir.
Şifre politikası özellik değerlerini istediğiniz gibi düzenleyin.
Yapılandırmayı kaydedin.

Ek sistem yöneticileri için LDAP şifre politikasını yapılandırma

Sistem yöneticisi kullanıcıları, Edge'e eklendiğinde orijinal sysadmin'in sysadmin şifre politikasına tabidir. Varsayılan şifre politikasının süresi şu tarihten sonra dolar: bir süre boyunca geçerli olacaktır. Ek sysadmin kullanıcılarının bir şifre politikası uyguluyorsanız aşağıdaki adımları uygulayın:

Şu komutu çalıştırarak dn tüm sistem yöneticilerini bulun:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

Çıkış, sysadmin kullanıcılarını roleOccupant olarak gösterir:

dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com

ppchange.ldif adında yeni bir dosya oluşturun ve bu dosyaya aşağıdakini ekleyin ( kendi sysadmin kullanıcısı):

dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Aşağıdaki komutu girerek kullanıcıyı değiştirin:

ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif

ldap arama komutuyla değişikliği doğrulayın:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

Çıkışta pwdPolicySubentry metriğinin eklendiği gösterilir:

dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Her sistem yöneticisi için 2-4. adımları tekrarlayın.

Varsayılan LDAP Şifre Politikası Özellikleri

Özellik	Açıklama	Varsayılan
pwdExpireWarning	Bir şifrenin geçerlilik süresinin dolması için geçmesi gereken maksimum saniye sayısı uyarı mesajları, dizinde kimlik doğrulaması yapan kullanıcıya döndürülür.	604800 (7 güne eşdeğer)
pwdFailureCountInterval	Eski art arda başarısız bağlama denemelerinin hata sayacı. Başka bir deyişle bu sayı, art arda gelen dönüşüm sayısının başarısız giriş denemeleri sıfırlanır. `pwdFailureCountInterval` değeri 0 olarak ayarlanırsa yalnızca başarılı bir kimlik doğrulama sayacı sıfırlayabilir. `pwdFailureCountInterval` >0 ise bu özellik, art arda başarısız giriş sayısının artacağı bir süreyi tanımlar. denemeleri, başarılı bir kimlik doğrulama işlemi olmasa bile otomatik olarak sıfırlanır. Bu özelliğin `pwdLockoutDuration` özelliği için de kullanılmaktadır.	300
pwdInHistory	Bir kullanıcıya ait, kullanılan veya geçmişte depolanacak olan maksimum şifre sayısı `pwdHistory` özelliği için de kullanılmaktadır. Şifresi değiştirildiğinde, kullanıcının şifre değiştirmesi engellenir. eski şifreler.	3
pwdLockout	`TRUE` ise şunu belirtir: Şifresi sona erdiğinde kullanıcıyı kilitleyerek artık giriş yapmasını engelleyebilirsiniz.	Yanlış
pwdLockoutDuration	Şifrenin, kullanıcı kimliğini doğrulamak için kullanılamayacağı saniye sayısı başarısız oldu. Başka bir deyişle bu, bir kullanıcı hesabının kalacağı süredir tarafından belirlenen art arda başarısız giriş denemesi sayısının aşılması nedeniyle kilitlendi. `pwdMaxFailure` özelliği için de kullanılmaktadır. `pwdLockoutDuration` değeri 0 olarak ayarlanırsa kullanıcı hesabı kilitli kalır ve bir sistem yöneticisi kilidi açana kadar. Kullanıcı hesabının kilidini açma başlıklı makaleye bakın. Eğer `pwdLockoutDuration` ise >0 değerine ayarlanırsa bu özellik, kullanıcı hesabının kalacağı bir süreyi tanımlar. kilitli. Bu süre dolduğunda kullanıcı hesabı otomatik olarak kilidi açıldı. Bu özelliğin `pwdFailureCountInterval` özelliği için de kullanılmaktadır.	300
pwdMaxAge	Bir kullanıcının (sistem yöneticisi olmayan) şifresinin süresinin dolmasına kalan saniye sayısı. 0 değeri şifrelerin süresinin dolmadığı anlamına gelir. 2592.000 olan varsayılan değer, şifrenin oluşturulduğu saat.	kullanıcı: 2592000 sysadmin: 0
pwdMaxFailure	Bir şifrenin kullanılamayacağı art arda yapılan başarısız giriş denemelerinin sayısı bir kullanıcının kimliğini dizinde doğrular.	3
pwdMinLength	Şifre ayarlanırken kullanılması gereken minimum karakter sayısını belirtir.	8

Kullanıcı Hesabının Kilidini Açma

Şifre politikasında belirlenen özellikler nedeniyle kullanıcının hesabı kilitlenebilir. Şuna sahip bir kullanıcı: sysadmin Apigee rolü, kullanıcının aşağıdaki API çağrısını kullanarak hesap. userEmail, adminEmail ve password değerlerini gerçek metinlerle değiştirin değerler.

Bir kullanıcının kilidini açmak için:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password

Not: Bu API'yi yalnızca sistem yöneticilerinin çağırabilmesini sağlamak için /users/*/status yolu Yönetim Sunucusu için conf_security_rbac.restricted.resources özelliği:

cd /opt/apigee/edge-management-server

grep -ri "conf_security_rbac.restricted.resources" *

Çıkış şu ifadeleri içerir:

token/default.properties:conf_security_rbac.restricted.resources=/environments,/environments/*,/environments/*/virtualhosts,/environments/*/virtualhosts/*,/pods,/environments/*/servers,/rebuildindex,/users/*/status