Mengelola kebijakan sandi LDAP default untuk pengelolaan API

Sistem Apigee menggunakan OpenLDAP untuk mengautentikasi pengguna di lingkungan pengelolaan API Anda. OpenLDAP menyediakan fungsi kebijakan sandi LDAP ini.

Bagian ini menjelaskan cara mengonfigurasi kebijakan sandi LDAP default yang dikirimkan. Gunakan ini kebijakan {i>password<i} untuk mengonfigurasi berbagai opsi otentikasi {i>password<i}, seperti jumlah upaya masuk gagal berturut-turut setelah itu {i>password<i} tidak lagi dapat digunakan untuk mengotentikasi pengguna ke direktori.

Bagian ini juga menjelaskan cara menggunakan beberapa API untuk mengakses akun pengguna yang telah dikunci sesuai dengan atribut yang dikonfigurasi dalam kebijakan {i>password<i} {i>default<i}.

Untuk informasi tambahan, lihat:

Mengonfigurasi sandi LDAP default kebijakan

Bagian ini menjelaskan cara mengonfigurasi kebijakan sandi LDAP default untuk:

Mengonfigurasi kebijakan sandi LDAP default untuk pengguna Edge dan sysadmin asli

Untuk mengonfigurasi kebijakan sandi LDAP default bagi pengguna Edge dan sysadmin asli:

  1. Hubungkan ke server LDAP Anda menggunakan klien LDAP, seperti Apache Studio atau ldapmodify. Menurut Server OpenLDAP {i>default<i} mendengarkan di porta 10389 pada {i>node<i} OpenLDAP.

    Untuk menghubungkan, tentukan Bind DN atau pengguna cn=manager,dc=apigee,dc=com dan Sandi OpenLDAP yang Anda setel pada saat penginstalan Edge.

  2. Gunakan klien untuk membuka atribut kebijakan sandi untuk:
  3. Edit nilai atribut kebijakan sandi sesuai keinginan.
  4. Simpan konfigurasi.

Mengonfigurasi kebijakan sandi LDAP untuk admin sistem tambahan

Saat Anda menambahkan pengguna {i>sysadmin<i} ke Edge, mereka mewarisi kebijakan {i>password<i} {i>default<i}, bukan kebijakan {i>password<i} {i>sysadmin<i} dari {i>sysadmin<i} asli. Kebijakan sandi {i>default<i} berakhir setelah waktu tertentu kecuali dikonfigurasi untuk melakukan sebaliknya. Untuk menetapkan pengguna {i>sysadmin<i} tambahan, kebijakan {i>password<i} supaya {i>password<i} itu tidak kedaluwarsa, ikuti langkah berikut:

  1. Temukan dn semua sysadmin dengan menjalankan perintah ini:
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
     -LLL

    Output akan menunjukkan pengguna sysadmin sebagai roleOccupant:

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
    objectClass: organizationalRole
    objectClass: top
    cn: sysadmin
    roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
    roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. Buat file baru bernama ppchange.ldif dan tambahkan berikut ini ke dalamnya (menggantikan dn pengguna sysadmin sendiri):
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
    changetype: modify
    add: pwdPolicySubentry
    pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. Ubah pengguna dengan memasukkan perintah berikut:
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. Verifikasi perubahan dengan perintah penelusuran ldap:
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

    Outputnya akan menunjukkan penambahan pwdPolicySubentry:

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
    pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  5. Ulangi langkah 2 hingga 4 untuk setiap sysadmin.

Atribut Kebijakan Sandi LDAP Default

Atribut Deskripsi Default
pwdExpireWarning
Jumlah detik maksimum sebelum sandi habis masa berlakunya pesan peringatan akan dikembalikan ke pengguna yang melakukan otentikasi ke direktori.

604800

(Setara dengan 7 hari)

pwdFailureCountInterval

Jumlah detik setelah upaya binding lama yang gagal secara berturut-turut dihapus dari penghitung kegagalan.

Dengan kata lain, ini adalah jumlah detik setelahnya hitungan berturut-turut upaya masuk yang gagal direset.

Jika pwdFailureCountInterval disetel ke 0, hanya otentikasi yang berhasil yang dapat mengatur ulang penghitung.

Jika pwdFailureCountInterval disetel ke >0, atribut menentukan durasi sebelum jumlah login gagal secara berturut-turut percobaan akan diatur ulang secara otomatis, walaupun tidak terjadi otentikasi yang berhasil.

Sebaiknya atribut ini ditetapkan ke nilai yang sama dengan Atribut pwdLockoutDuration.

300
pwdInHistory

Jumlah maksimum sandi yang telah digunakan atau sudah pernah digunakan untuk pengguna yang akan disimpan di Atribut pwdHistory.

Saat mengubah {i>password-<i}nya, pengguna akan diblokir sehingga tidak dapat mengubahnya ke {i>password<i} yang lalu.

3
pwdLockout

Jika TRUE, tentukan untuk mengunci pengguna ketika {i>password<i} mereka kedaluwarsa sehingga pengguna tidak bisa lagi {i>log in<i}.

Salah
pwdLockoutDuration

Jumlah detik saat sandi tidak dapat digunakan untuk mengautentikasi pengguna karena terlalu banyak upaya masuk yang gagal secara berturut-turut.

Dengan kata lain, ini adalah jangka waktu di mana akun pengguna akan tetap terkunci karena melebihi jumlah upaya login gagal berturut-turut yang ditetapkan oleh Atribut pwdMaxFailure.

Jika pwdLockoutDuration disetel ke 0, akun pengguna akan tetap dikunci hingga administrator sistem membukanya.

Lihat Membuka kunci akun pengguna.

Jika pwdLockoutDuration diatur ke >0, atribut mendefinisikan durasi di mana akun pengguna akan tetap terkunci. Setelah jangka waktu ini berlalu, akun pengguna akan otomatis tidak terkunci.

Sebaiknya atribut ini ditetapkan ke nilai yang sama dengan Atribut pwdFailureCountInterval.

300
pwdMaxAge

Jumlah detik saat sandi pengguna (non-sysadmin) habis masa berlakunya. Nilai 0 berarti {i>password<i} tidak kedaluwarsa. Nilai default 2592000 setara dengan 30 hari dari seperti saat {i>password<i} dibuat.

pengguna: 2592000

Admin sistem: 0

pwdMaxFailure

Jumlah upaya masuk yang gagal secara berturut-turut setelah {i>password<i} tidak dapat digunakan untuk mengotentikasi pengguna ke direktori tersebut.

3
pwdMinLength

Menentukan jumlah karakter minimum yang diperlukan saat menetapkan sandi.

8

Membuka Kunci Akun Pengguna

Akun pengguna dapat dikunci karena atribut yang ditetapkan dalam kebijakan sandi. Seorang pengguna dengan peran Apigee sysadmin yang ditetapkan dapat menggunakan panggilan API berikut untuk membuka kunci menggunakan akun layanan. Ganti userEmail, adminEmail, dan password dengan yang sebenarnya masing-masing.

Untuk membuka akses ke pengguna:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password