Se usó la API de Cloud Translation para traducir esta página.

Cómo administrar la política de contraseñas LDAP predeterminada para la administración de API

El sistema de Apigee usa OpenLDAP para autenticar usuarios en tu entorno de administración de APIs. OpenLDAP hace que esta funcionalidad de la política de contraseñas de LDAP esté disponible.

En esta sección, se describe cómo configurar la política de contraseñas LDAP predeterminada entregada. Usar esta la política de contraseñas para configurar varias opciones de autenticación con contraseña, como el número de intentos fallidos de acceso consecutivos, tras los cuales ya no se puede usar una contraseña para autenticar un usuario al directorio.

En esta sección, también se describe cómo usar algunas APIs para desbloquear cuentas de usuario según los atributos configurados en la política de contraseñas predeterminada.

Para obtener información adicional, consulta:

Configura la contraseña de LDAP predeterminada política

En esta sección, se explica cómo configurar la política de contraseñas LDAP predeterminada para lo siguiente:

Usuarios de Edge y el administrador del sistema original
Administradores de sistemas adicionales

Configura la política de contraseñas de LDAP predeterminada para los usuarios de Edge y el administrador del sistema original

Si quieres configurar la política de contraseñas de LDAP predeterminada para los usuarios de Edge y el administrador del sistema original, sigue estos pasos:

Conéctate a tu servidor LDAP con un cliente LDAP, como Apache Studio o ldapmodify. De el servidor OpenLDAP predeterminado escucha en el puerto 10389 del nodo OpenLDAP.
Para conectarte, especifica el DN de Bind o el usuario de cn=manager,dc=apigee,dc=com y el Contraseña de OpenLDAP que configuraste en el momento de la instalación de Edge.
Utiliza el cliente para navegar a los atributos de la política de contraseñas para:
- Usuarios de Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
- El administrador del sistema de Edge original: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  Nota: Para configurar la contraseña de LDAP para administradores de sistemas adicionales (que no sean el administrador original), Cómo configurar Política de contraseñas de LDAP para administradores de sistemas adicionales a continuación.
Edita los valores del atributo de la política de contraseñas como desees.
Guarde la configuración.

Configura la política de contraseñas de LDAP para administradores de sistemas adicionales

Cuando agregas usuarios administradores del sistema a Edge, estos heredan la política de contraseñas predeterminada, en lugar de la política de contraseñas del administrador del sistema original. La política de contraseñas predeterminada vence después del durante cierta cantidad de tiempo, a menos que se configure para ello. Para configurar los permisos de los usuarios para que no caduque, sigue estos pasos:

Busca dn a todos los sysadmins ejecutando este comando:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

El resultado muestra los usuarios administradores del sistema como roleOccupant:

dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com

Crea un nuevo archivo llamado ppchange.ldif y agrégale lo siguiente (reemplazando el dn de tu tu propio usuario administrador del sistema):

dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Ingresa el siguiente comando para modificar el usuario:

ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif

Verifica el cambio con el comando de búsqueda ldap:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

El resultado mostraría la adición de pwdPolicySubentry:

dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Repite del paso 2 al 4 para cada administrador del sistema.

Atributos predeterminados de la política de contraseñas de LDAP

Atributo	Descripción	Predeterminado
pwdExpireWarning	La cantidad máxima de segundos que debe transcurrir antes de que una contraseña caduque ese vencimiento se mostrarán mensajes de advertencia a un usuario que se esté autenticando en el directorio.	604800 (Equivalente a 7 días)
pwdFailureCountInterval	Cantidad de segundos después de los cuales se borran definitivamente los intentos de vinculación fallidos consecutivos del contador de fallas. En otras palabras, este es el número de segundos tras los cuales el recuento de respuestas intentos de acceso fallidos se restablece. Si `pwdFailureCountInterval` se establece en 0, solo una autenticación exitosa puede restablecer el contador. Si estableces `pwdFailureCountInterval` como >0, el atributo define una duración después de la cual el recuento de intentos de acceso fallidos consecutivos intentos se restablecen automáticamente, incluso si no se realizó una autenticación exitosa. Sugerimos que este atributo tenga el mismo valor que el atributo `pwdLockoutDuration`.	300
pwdInHistory	Cantidad máxima de contraseñas usadas, o pasadas, para un usuario que se almacenarán en atributo `pwdHistory`. Si el usuario cambia su contraseña, no podrá cambiarla por ninguna de sus contraseñas anteriores.	3
pwdLockout	Si es `TRUE`, especifica que bloquear a un usuario cuando caduque su contraseña para que ya no pueda acceder.	Falso
pwdLockoutDuration	Cantidad de segundos durante los cuales no se puede usar una contraseña para autenticar al usuario demasiados intentos de acceso fallidos consecutivos. En otras palabras, es el período durante el cual una cuenta de usuario permanecerá bloqueado debido a que se excedió el número de intentos de acceso fallidos consecutivos que estableció el atributo `pwdMaxFailure`. Si estableces `pwdLockoutDuration` en 0, la cuenta de usuario permanecerá bloqueada. hasta que un administrador del sistema la desbloquee. Consulta Cómo desbloquear una cuenta de usuario. Si `pwdLockoutDuration` esté establecido en >0, el atributo define el tiempo durante el cual permanecerá la cuenta de usuario bloqueado. Una vez transcurrido este período, la cuenta de usuario se desbloqueado. Sugerimos que este atributo tenga el mismo valor que el atributo `pwdFailureCountInterval`.	300
pwdMaxAge	Cantidad de segundos después de los cuales vence la contraseña de un usuario (que no es un administrador del sistema). Un valor de 0 las contraseñas no vencen. El valor predeterminado de 2592000 corresponde a 30 días desde la hora en que se creó la contraseña.	usuario: 2592000 administrador del sistema: 0
pwdMaxFailure	Cantidad de intentos de acceso fallidos consecutivos después de los cuales no se puede usar una contraseña para autenticar a un usuario en el directorio.	3
pwdMinLength	Especifica la cantidad mínima de caracteres requeridos para configurar una contraseña.	8

Desbloqueo de una cuenta de usuario

La cuenta de un usuario puede estar bloqueada debido a los atributos establecidos en la política de contraseñas. Un usuario con el rol de Apigee de administrador del sistema asignado puede usar la siguiente llamada a la API para desbloquear el de servicio predeterminada. Reemplaza userEmail, adminEmail y password por valores reales de salida.

Sigue estos pasos para desbloquear un usuario:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password

Nota: Para garantizar que solo los administradores del sistema puedan llamar a esta API, el sistema La ruta de acceso /users/*/status se incluye en el Propiedad conf_security_rbac.restricted.resources para el servidor de administración:

cd /opt/apigee/edge-management-server

grep -ri "conf_security_rbac.restricted.resources" *

El resultado contiene lo siguiente:

token/default.properties:conf_security_rbac.restricted.resources=/environments,/environments/*,/environments/*/virtualhosts,/environments/*/virtualhosts/*,/pods,/environments/*/servers,/rebuildindex,/users/*/status