管理 API 管理的預設 LDAP 密碼政策

Apigee 系統會使用 OpenLDAP 在您的 API 管理環境中驗證使用者。 OpenLDAP 提供這項 LDAP 密碼政策功能。

本節說明如何設定已傳送的預設 LDAP 密碼政策。使用這份草稿 密碼政策,以設定各種密碼驗證選項,例如設定 也就是使用者連續 30 次都無法再使用該密碼來驗證 使用者上傳至目錄

本節也會說明如何透過幾個 API 解鎖目前已啟用的使用者帳戶 已根據預設密碼政策設定的屬性鎖定。

若需更多資訊,請參閱:

設定預設 LDAP 密碼 政策

本節說明如何設定預設的 LDAP 密碼政策:

為 Edge 使用者和原始 sysadmin 設定預設 LDAP 密碼政策

如何為 Edge 使用者和原始 sysadmin 設定預設的 LDAP 密碼政策:

  1. 使用 LDAP 用戶端 (例如 Apache Studio 或 ldapmodify) 連線至 LDAP 伺服器。變更者: 預設 OpenLDAP 伺服器會監聽 OpenLDAP 節點的通訊埠 10389。

    如要進行連線,請指定 cn=manager,dc=apigee,dc=com 的 Bind DN 或使用者,以及 您在安裝 Edge 時設定的 OpenLDAP 密碼。

  2. 請透過用戶端前往下列密碼政策屬性:
  3. 視需要編輯密碼政策屬性值。
  4. 儲存設定。

為其他 sysadmin 設定 LDAP 密碼政策

當您將 sysadmin 使用者新增至 Edge 時,他們將繼承預設密碼政策,而非 原始 sysadmin 的 sysadmin 密碼政策。預設密碼政策到期時間晚於 不如設定另一些時間如何設定額外的 sysadmin 使用者 密碼政策,這樣就不會過期,請按照下列步驟操作:

  1. 執行下列指令,找出所有 sysadmin 的 dn
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

    輸出結果會將 sysadmin 使用者顯示為 roleOccupant

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. 建立名為 ppchange.ldif 的新檔案,並在檔案中加入下列內容 (取代 自己的 sysadmin 使用者): 
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. 輸入下列指令,修改使用者: 
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. 使用 ldap 搜尋指令驗證變更: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

    輸出結果會顯示 pwdPolicySubentry 的額外內容: 

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  5. 針對每位系統管理員重複步驟 2 到 4。

預設 LDAP 密碼政策屬性

屬性 說明 預設 
pwdExpireWarning
 密碼到期前的秒數上限 驗證至目錄的使用者將傳回警告訊息。

604800

(相當於 7 天)

 
pwdFailureCountInterval

超過此秒數後,系統會從 失敗計數器

換句話說,這個數字代表連續計數的秒數 重設失敗的登入次數。

如果 pwdFailureCountInterval 設為 0, 只有成功驗證才能重設計數器。

如果將 pwdFailureCountInterval 設為 >0,屬性會定義連續登入失敗次數後的持續時間 會自動重設,即使未成功驗證也是如此。

建議您將此屬性設為 pwdLockoutDuration 屬性。

 300 
pwdInHistory

可將使用者密碼儲存在 pwdHistory 屬性。

使用者變更密碼後,就無法將密碼變更為自己的密碼 。

 3 
pwdLockout

如果是 TRUE,請指定 在密碼過期時鎖定使用者,防止使用者登入。

 
pwdLockoutDuration

因規定而無法使用密碼驗證使用者的秒數 連續登入失敗次數過多。

也就是說,使用者帳戶會保留這個時間長度 。 pwdMaxFailure 屬性。

如果將 pwdLockoutDuration 設為 0,使用者帳戶將維持鎖定狀態 直到系統管理員解鎖裝置為止

請參閱解鎖使用者帳戶

如果pwdLockoutDuration 設為 >0,屬性會定義使用者帳戶要保留多久 已鎖定。這段時間過後,使用者帳戶會自動經過 並保持解鎖狀態

建議您將此屬性設為 pwdFailureCountInterval 屬性。

 300 
pwdMaxAge

使用者 (非 Sysadmin) 密碼到期的秒數。值為 0 代表密碼不會過期2592000 的預設值對應於 密碼的建立時間。

使用者:2592000

sysadmin:0

 
pwdMaxFailure

連續嘗試登入失敗的次數。超過該次數上限後,系統可能無法再使用密碼 驗證使用者存取目錄

 3 
pwdMinLength

指定設定密碼時所需的字元數下限。

 8

解鎖使用者帳戶

使用者的帳戶可能會因密碼政策中設定的屬性而遭到鎖定。符合以下條件的使用者 指派的 sysadmin Apigee 角色可以使用下列 API 呼叫來解鎖使用者的 讓他們使用服務帳戶將 userEmailadminEmailpassword 替換為實際值 輕鬆分配獎金

如何解鎖使用者:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password
敬上