Das Apigee-System verwendet OpenLDAP, um Nutzer in Ihrer API-Verwaltungsumgebung zu authentifizieren. OpenLDAP stellt diese LDAP-Passwortrichtlinienfunktion zur Verfügung.
In diesem Abschnitt wird beschrieben, wie die übermittelte Standard-LDAP-Passwortrichtlinie konfiguriert wird. Mit dieser Passwortrichtlinie können Sie verschiedene Optionen für die Passwortauthentifizierung konfigurieren, z. B. die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche, nach denen ein Passwort nicht mehr zur Authentifizierung eines Nutzers im Verzeichnis verwendet werden kann.
In diesem Abschnitt wird auch beschrieben, wie Sie mit einigen APIs Nutzerkonten entsperren, die gemäß den in der Standard-Passwortrichtlinie konfigurierten Attributen gesperrt wurden.
Weitere Informationen finden Sie unter:
Standard-LDAP-Passwortrichtlinie konfigurieren
In diesem Abschnitt wird erläutert, wie die standardmäßige LDAP-Passwortrichtlinie konfiguriert wird für:
Standard-LDAP-Passwortrichtlinie für Edge-Nutzer und den ursprünglichen Systemadministrator konfigurieren
So konfigurieren Sie die standardmäßige LDAP-Passwortrichtlinie für Edge-Nutzer und den ursprünglichen Systemadministrator:
- Stellen Sie über einen LDAP-Client wie Apache Studio oder ldapmodify eine Verbindung zu Ihrem LDAP-Server her. Standardmäßig überwacht der OpenLDAP-Server Port 10389 auf dem OpenLDAP-Knoten.
Geben Sie zum Herstellen einer Verbindung den Bind-DN oder den Nutzer von
cn=manager,dc=apigee,dc=com
und das OpenLDAP-Passwort an, das Sie bei der Edge-Installation festgelegt haben. - Verwenden Sie den Client, um die Passwortrichtlinienattribute für Folgendes aufzurufen:
- Edge-Nutzer:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- Der ursprüngliche Edge-Sysadmin:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
Hinweis: Informationen zum Konfigurieren der LDAP-Passwortrichtlinie für zusätzliche Systemadministratoren (außer dem ursprünglichen Systemadministrator) finden Sie unten im Abschnitt LDAP-Passwortrichtlinie für zusätzliche Systemadministratoren konfigurieren.
- Edge-Nutzer:
- Bearbeiten Sie die Attributwerte der Passwortrichtlinie nach Bedarf.
- Speichern Sie die Konfiguration.
LDAP-Passwortrichtlinie für zusätzliche Systemadministratoren konfigurieren
Wenn Sie Sysadmin-Nutzer zu Edge hinzufügen, übernehmen sie die Standard-Passwortrichtlinie und nicht die Systemadministrator-Passwortrichtlinie des ursprünglichen Systemadministrators. Die Standard-Passwortrichtlinie läuft nach einer bestimmten Zeit ab, sofern nicht anders konfiguriert. Führen Sie die folgenden Schritte aus, um die Passwortrichtlinie für zusätzliche Systemadministrator-Nutzer so festzulegen, dass sie nicht ablaufen:
- Ermitteln Sie mit dem folgenden Befehl die
dn
aller Systemadministratoren:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base -LLL
In der Ausgabe werden die Nutzer des Systemadministrators als
roleOccupant
angezeigt:dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com objectClass: organizationalRole objectClass: top cn: sysadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
- Erstellen Sie eine neue Datei mit dem Namen
ppchange.ldif
und fügen Sie Folgendes hinzu (ersetzen Sie das dn Ihres eigenen Sysadmin-Nutzers):dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Ändern Sie den Nutzer mit folgendem Befehl:
ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
- Prüfen Sie die Änderung mit dem
ldap
-Suchbefehl:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
Die Ausgabe würde das Hinzufügen von
pwdPolicySubentry
zeigen:dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Wiederholen Sie die Schritte 2 bis 4 für jeden Systemadministrator.
Standardattribute für LDAP-Passwortrichtlinien
Attribut | Beschreibung | Standard |
---|---|---|
pwdExpireWarning |
Die maximale Anzahl von Sekunden, bevor ein Passwort abläuft, damit Warnungen zum Ablauf an einen Nutzer zurückgegeben werden, der sich beim Verzeichnis authentifiziert. |
604800 (entspricht 7 Tagen) |
pwdFailureCountInterval |
Anzahl der Sekunden, nach denen alte, aufeinanderfolgende fehlgeschlagene Bindungsversuche dauerhaft aus dem Fehlerzähler gelöscht werden. Dies ist also die Anzahl der Sekunden, nach der die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche zurückgesetzt wird. Wenn Wenn Wir empfehlen, für dieses Attribut denselben Wert wie für das Attribut |
300 |
pwdInHistory |
Die maximale Anzahl verwendeter oder früherer Passwörter für einen Nutzer, die im Attribut Wenn der Nutzer sein Passwort ändert, kann er keines der bisherigen Passwörter mehr verwenden. |
3 |
pwdLockout |
Wenn |
Falsch |
pwdLockoutDuration |
Anzahl der Sekunden, in denen ein Passwort aufgrund zu vieler aufeinanderfolgender fehlgeschlagener Anmeldeversuche nicht zur Authentifizierung des Nutzers verwendet werden kann. Mit anderen Worten: Dies ist der Zeitraum, während dessen ein Nutzerkonto gesperrt bleibt, weil die mit dem Attribut Wenn Weitere Informationen finden Sie unter Nutzerkonto entsperren. Wenn Wir empfehlen, für dieses Attribut denselben Wert wie für das Attribut |
300 |
pwdMaxAge |
Anzahl der Sekunden, nach denen das Passwort eines Nutzers (kein Systemadministrator) abläuft. Ein Wert von 0 bedeutet, dass Passwörter nicht ablaufen. Der Standardwert von 2592000 entspricht 30 Tagen ab Erstellung des Passworts. |
Nutzer: 2592000 sysadmin: 0 |
pwdMaxFailure |
Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche, nach denen ein Passwort nicht zur Authentifizierung eines Nutzers für das Verzeichnis verwendet werden darf. |
3 |
pwdMinLength |
Gibt die Mindestanzahl von Zeichen an, die beim Festlegen eines Passworts erforderlich sind. |
8 |
Nutzerkonto entsperren
Das Konto eines Nutzers ist möglicherweise aufgrund von Attributen gesperrt, die in den Passwortrichtlinien festgelegt sind. Ein Nutzer mit der Apigee-Rolle „sysadmin“ kann den folgenden API-Aufruf verwenden, um das Konto des Nutzers zu entsperren. Ersetzen Sie userEmail, adminEmail und password durch tatsächliche Werte.
So entsperren Sie einen Nutzer:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password