El sistema de Apigee usa OpenLDAP para autenticar usuarios en el entorno de administración de la API. OpenLDAP pone a disposición esta funcionalidad de política de contraseñas de LDAP.
En esta sección, se describe cómo configurar la política de contraseñas de LDAP predeterminada entregadas. Usa esta política de contraseñas para configurar varias opciones de autenticación de contraseña, como la cantidad de intentos de acceso consecutivos fallidos después de los cuales ya no se podrá usar una contraseña para autenticar a un usuario en el directorio.
En esta sección, también se describe cómo usar un par de APIs para desbloquear cuentas de usuario que se bloquearon según los atributos configurados en la política de contraseñas predeterminada.
Para obtener información adicional, consulta:
- Política de LDAP
- “Información importante sobre su política de contraseñas” en la Comunidad de Apigee
Cómo configurar la política de contraseñas LDAP predeterminada
En esta sección, se explica cómo configurar la política de contraseñas LDAP predeterminada para:
Configurar la política de contraseñas LDAP predeterminada para los usuarios de Edge y el administrador del sistema original
Para configurar la política de contraseñas LDAP predeterminada para los usuarios de Edge y el administrador del sistema original, haz lo siguiente:
- Conéctese al servidor LDAP con un cliente de LDAP, como Apache Studio o ldapmodify. De forma predeterminada, el servidor OpenLDAP escucha en el puerto 10389 del nodo de OpenLDAP.
Para conectarte, especifica el DN de vinculación o el usuario de
cn=manager,dc=apigee,dc=com
y la contraseña de OpenLDAP que estableciste en el momento de la instalación de Edge. - Usa el cliente para navegar a los atributos de la política de contraseñas de lo siguiente:
- Usuarios perimetrales:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- El administrador del sistema original de Edge:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
Nota: Si deseas configurar la política de contraseñas de LDAP para administradores de sistemas adicionales (que no sean el administrador del sistema original), consulta la sección Configura la política de contraseñas de LDAP para administradores de sistemas adicionales a continuación.
- Usuarios perimetrales:
- Edita los valores del atributo de la política de contraseñas como desees.
- Guarde la configuración.
Configura la política de contraseñas de LDAP para los administradores de sistemas adicionales
Cuando agregas usuarios administradores del sistema a Edge, estos heredan la política de contraseñas predeterminada, en lugar de la política de contraseñas del administrador del sistema original. La política de contraseñas predeterminada vence después de un período determinado, a menos que se configure de otra manera. Para configurar la política de contraseñas de los usuarios del administrador del sistema adicional a fin de que no venza, sigue estos pasos:
- Para buscar todos los administradores del sistema
dn
, ejecuta este comando:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base -LLL
El resultado muestra los usuarios sysadmin como
roleOccupant
:dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com objectClass: organizationalRole objectClass: top cn: sysadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
- Crea un archivo nuevo llamado
ppchange.ldif
y agrégale lo siguiente (reemplaza la dn de tu propio usuario de administrador del sistema):dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Para modificar el usuario, ingresa el siguiente comando:
ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
- Verifica el cambio con el comando de búsqueda
ldap
:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
.El resultado mostraría la adición de
pwdPolicySubentry
:dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Repite del paso 2 al 4 para cada administrador del sistema.
Atributos predeterminados de la política de contraseñas LDAP
Atributo | Descripción | Predeterminada |
---|---|---|
pwdExpireWarning |
La cantidad máxima de segundos antes de que venza una contraseña para que los mensajes de advertencia de vencimiento se muestren al usuario que se está autenticando en el directorio. |
604800 (equivalente a 7 días) |
pwdFailureCountInterval |
Cantidad de segundos después de los cuales se borran definitivamente los antiguos intentos de vinculación fallidos consecutivos del contador de fallas. En otras palabras, esta es la cantidad de segundos después de los cuales se restablece el recuento de intentos de acceso consecutivos fallidos. Si Si Te recomendamos que establezcas este atributo con el mismo valor que el atributo |
300 |
pwdInHistory |
Cantidad máxima de contraseñas usadas o anteriores para un usuario que se almacenarán en el atributo Cuando cambie la contraseña, el usuario no podrá cambiarla por ninguna de sus contraseñas anteriores. |
3 |
pwdLockout |
Si es |
Falso |
pwdLockoutDuration |
Cantidad de segundos durante los cuales no se puede usar una contraseña para autenticar al usuario debido a demasiados intentos de acceso consecutivos fallidos. En otras palabras, esta es la cantidad de tiempo durante el cual una cuenta de usuario permanecerá bloqueada debido a que se superó la cantidad de intentos de acceso consecutivos fallidos que estableció el atributo Si se establece Consulta Cómo desbloquear una cuenta de usuario. Si se configura Te recomendamos que establezcas este atributo con el mismo valor que el atributo |
300 |
pwdMaxAge |
Cantidad de segundos después de los cuales vence la contraseña de un usuario (que no es sysadmin). Un valor de 0 significa que las contraseñas no vencen. El valor predeterminado de 2592000 corresponde a 30 días desde el momento en que se creó la contraseña. |
usuario: 2592000 administrador del sistema: 0 |
pwdMaxFailure |
Cantidad de intentos de acceso consecutivos después de los cuales no se puede usar una contraseña para autenticar a un usuario en el directorio. |
3 |
pwdMinLength |
Especifica la cantidad mínima de caracteres requeridos para configurar una contraseña. |
8 |
Desbloqueo de una cuenta de usuario
La cuenta de un usuario puede estar bloqueada debido a los atributos establecidos en la política de contraseñas. Un usuario con el rol de Apigee de administrador del sistema asignado puede usar la siguiente llamada a la API para desbloquear la cuenta del usuario. Reemplaza userEmail, adminEmail y password por valores reales.
Para desbloquear a un usuario, haz lo siguiente:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password