Apigee 系统使用 OpenLDAP 在您的 API 管理环境中对用户进行身份验证。 OpenLDAP 使此 LDAP 密码政策功能可用。
本部分介绍如何配置提供的默认 LDAP 密码政策。您可以使用此密码政策配置各种密码身份验证选项,例如在连续失败的登录尝试次数后,系统就不能再使用密码来验证访问目录的用户的身份。
本节还介绍了如何使用一些 API 解锁已根据默认密码政策中配置的属性锁定的用户帐号。
如需了解详情,请参阅:
配置默认 LDAP 密码政策
本部分介绍如何为以下各项配置默认 LDAP 密码政策:
为 Edge 用户和原始系统管理员配置默认 LDAP 密码政策
要为 Edge 用户和原始系统管理员配置默认 LDAP 密码政策,请执行以下操作:
- 使用 LDAP 客户端(如 Apache Studio 或 ldapmodify)连接到您的 LDAP 服务器。默认情况下,OpenLDAP 服务器监听 OpenLDAP 节点上的端口 10389。
如需进行连接,请指定
cn=manager,dc=apigee,dc=com
的 Bind DN 或用户,以及您在安装 Edge 时设置的 OpenLDAP 密码。 - 使用客户端找到以下账号的密码政策属性:
- 边缘用户:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- 原始 Edge 系统管理员:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
注意:如需为其他系统管理员(原始系统管理员除外)配置 LDAP 密码政策,请参阅下方的为其他系统管理员配置 LDAP 密码政策。
- 边缘用户:
- 根据需要修改密码政策属性值。
- 保存配置。
为其他系统管理员配置 LDAP 密码政策
将系统管理员用户添加到 Edge 后,他们会继承默认密码政策,而不是原始系统管理员的系统管理员密码政策。除非配置为其他情况,否则默认密码政策会在一段时间后过期。如需将其他系统管理员用户的密码政策设为不会过期,请按以下步骤操作:
- 运行以下命令来查找
dn
所有系统管理员:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base -LLL
输出结果会将系统管理员用户显示为
roleOccupant
:dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com objectClass: organizationalRole objectClass: top cn: sysadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
- 新建一个名为
ppchange.ldif
的文件,并将以下代码添加到该文件中(替换您自己的系统管理员用户的 dn):dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- 输入以下命令来修改用户:
ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
- 使用
ldap
搜索命令验证相应更改:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
输出会显示添加
pwdPolicySubentry
的情况:dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- 对每位系统管理员重复执行第 2 步到第 4 步。
默认 LDAP 密码政策属性
属性 | 说明 | 默认 |
---|---|---|
pwdExpireWarning |
向向目录进行身份验证的用户,在密码到期前的多少秒内将返回到期警告消息。 |
604800 (相当于 7 天) |
pwdFailureCountInterval |
从失败计数器中完全清除旧的连续失败绑定尝试的秒数。 换句话说,这也是重置尝试登录失败次数的秒数。 如果将 如果 我们建议将此属性设置为与 |
300 |
pwdInHistory |
将存储在 更改密码后,系统将阻止用户将其更改为之前的任何密码。 |
3 |
pwdLockout |
如果为 |
False |
pwdLockoutDuration |
由于连续登录失败次数过多而无法使用密码对用户进行身份验证的秒数。 换句话说,这是用户账号由于超过 如果 请参阅解锁用户帐号。 如果 我们建议将此属性设置为与 |
300 |
pwdMaxAge |
用户(非系统管理员)密码到期的秒数。值为 0 表示密码不会过期。默认值 2592000 对应于创建密码后 30 天。 |
用户:2592000 系统管理员:0 |
pwdMaxFailure |
连续失败的登录尝试次数后,系统可能不会使用密码来验证目录中的用户的身份。 |
3 |
pwdMinLength |
指定设置密码时所需的最少字符数。 |
8 |
解锁用户帐号
用户的帐号可能会因密码政策中设置的属性而被锁定。分配了系统管理员 Apigee 角色的用户可以使用以下 API 调用来解锁用户的帐号。将 userEmail、adminEmail 和 password 替换为实际值。
如需解锁用户,请执行以下操作:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password