การจัดการนโยบายรหัสผ่าน LDAP เริ่มต้นสําหรับการจัดการ API

ระบบ Apigee ใช้ OpenLDAP เพื่อตรวจสอบสิทธิ์ผู้ใช้ในสภาพแวดล้อมการจัดการ API ของคุณ OpenLDAP จะทําให้ฟังก์ชันการทำงานของนโยบายรหัสผ่าน LDAP นี้ใช้งานได้

ส่วนนี้จะอธิบายวิธีกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้นที่ส่ง ใช้ร่างคำตอบนี้ นโยบายรหัสผ่านเพื่อกำหนดค่าตัวเลือกการตรวจสอบสิทธิ์รหัสผ่านต่างๆ เช่น จำนวน ความพยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกันหลังจากนั้นจะไม่สามารถใช้รหัสผ่านในการตรวจสอบสิทธิ์ ในไดเรกทอรี

หัวข้อนี้ยังอธิบายวิธีใช้ API 2-3 รายการเพื่อปลดล็อกบัญชีผู้ใช้ที่ ล็อกตามแอตทริบิวต์ที่กำหนดค่าไว้ในนโยบายรหัสผ่านเริ่มต้น

ดูข้อมูลเพิ่มเติมได้จากหัวข้อต่อไปนี้

การกำหนดค่ารหัสผ่าน LDAP เริ่มต้น นโยบาย

ส่วนนี้จะอธิบายวิธีกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้นสำหรับรายการต่อไปนี้

การกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้นสำหรับผู้ใช้ Edge และผู้ดูแลระบบเดิม

วิธีกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้นสำหรับผู้ใช้ Edge และผู้ดูแลระบบเดิม

  1. เชื่อมต่อกับเซิร์ฟเวอร์ LDAP โดยใช้ไคลเอ็นต์ LDAP เช่น Apache Studio หรือ LDAPmodify โดย เซิร์ฟเวอร์ OpenLDAP เริ่มต้นจะรอฟังพอร์ต 10389 บนโหนด OpenLDAP

    หากต้องการเชื่อมต่อ ให้ระบุ Bind DN หรือผู้ใช้ของ cn=manager,dc=apigee,dc=com และพารามิเตอร์ รหัสผ่าน OpenLDAP ที่คุณตั้งไว้ตอนติดตั้ง Edge

  2. ใช้ไคลเอ็นต์เพื่อไปยังแอตทริบิวต์นโยบายรหัสผ่านสำหรับสิ่งต่อไปนี้
  3. แก้ไขค่าแอตทริบิวต์นโยบายรหัสผ่านได้ตามต้องการ
  4. บันทึกการกำหนดค่า

การกำหนดค่านโยบายรหัสผ่าน LDAP สำหรับ sysผู้ดูแลระบบ เพิ่มเติม

เมื่อคุณเพิ่มผู้ใช้ sysadmin ไปยัง Edge ผู้ใช้จะรับนโยบายรหัสผ่านเริ่มต้น แทนที่จะเป็น นโยบายรหัสผ่านของ Syadmin ของผู้ดูแลระบบเดิม นโยบายรหัสผ่านเริ่มต้นจะหมดอายุหลังจาก เป็นระยะเวลาหนึ่งเว้นแต่จะกำหนดค่าเป็นอย่างอื่น ในการตั้งค่าผู้ใช้ผู้ดูแลระบบเพิ่มเติม นโยบายรหัสผ่านเพื่อไม่ให้หมดอายุ ให้ทำตามขั้นตอนต่อไปนี้

  1. ค้นหา dn sysผู้ดูแลระบบ ทั้งหมดโดยเรียกใช้คำสั่งนี้: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

    เอาต์พุตจะแสดงผู้ใช้ sysadmin เป็น roleOccupant:

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. สร้างไฟล์ใหม่ชื่อ ppchange.ldif และเพิ่มข้อมูลต่อไปนี้ลงในไฟล์ (แทนที่ dn ของ ผู้ใช้ผู้ดูแลระบบเอง): 
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. แก้ไขผู้ใช้โดยป้อนคำสั่งต่อไปนี้ 
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. ยืนยันการเปลี่ยนแปลงด้วยคำสั่งค้นหา ldap ดังนี้ 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

    เอาต์พุตจะแสดงการเพิ่ม pwdPolicySubentry: 

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  5. ทำตามขั้นตอนที่ 2 ถึง 4 สำหรับผู้ดูแลระบบแต่ละคน

แอตทริบิวต์นโยบายรหัสผ่าน LDAP เริ่มต้น

แอตทริบิวต์ คำอธิบาย ค่าเริ่มต้น 
pwdExpireWarning
 จำนวนวินาทีสูงสุดก่อนที่รหัสผ่านจะครบกำหนดการหมดอายุนั้น ข้อความเตือนจะถูกส่งกลับไปให้ผู้ใช้ที่กำลังตรวจสอบสิทธิ์ในไดเรกทอรี

604800

(เทียบเท่ากับ 7 วัน)

 
pwdFailureCountInterval

จำนวนวินาทีหลังจากที่ความพยายามเชื่อมโยงที่ล้มเหลวติดต่อกันครั้งก่อนหน้าจะถูกลบถาวรจาก ตัวนับความล้มเหลว

กล่าวอีกนัยหนึ่งคือ ค่านี้คือจำนวนวินาทีหลังจากการนับของ ความพยายามเข้าสู่ระบบที่ไม่สำเร็จจะถูกรีเซ็ต

หากตั้งค่า pwdFailureCountInterval เป็น 0 มีเพียงการตรวจสอบสิทธิ์ที่สำเร็จเท่านั้นที่สามารถรีเซ็ตตัวนับได้

หากตั้งค่า pwdFailureCountInterval เป็น >0 แอตทริบิวต์กำหนดระยะเวลาหลังจากการเข้าสู่ระบบที่ไม่สำเร็จติดต่อกัน และจะรีเซ็ตโดยอัตโนมัติ แม้จะไม่มีการตรวจสอบสิทธิ์ที่สำเร็จก็ตาม

เราขอแนะนำให้กำหนดค่าแอตทริบิวต์นี้เป็นค่าเดียวกับ pwdLockoutDuration

 300 
pwdInHistory

จำนวนรหัสผ่านที่ใช้แล้ว หรือรหัสผ่านสูงสุดของผู้ใช้ ซึ่งจะจัดเก็บไว้ใน pwdHistory

เมื่อเปลี่ยนรหัสผ่าน ระบบจะบล็อกไม่ให้ผู้ใช้เปลี่ยนรหัสผ่านของตน รหัสผ่านที่ผ่านมา

 3 
pwdLockout

หากเป็น TRUE ให้ระบุเป็น ล็อกผู้ใช้เมื่อรหัสผ่านหมดอายุ เพื่อไม่ให้ผู้ใช้เข้าสู่ระบบได้อีก

 เท็จ 
pwdLockoutDuration

จำนวนวินาทีที่รหัสผ่านไม่สามารถตรวจสอบสิทธิ์ผู้ใช้ได้ พยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกันหลายครั้งเกินไป

กล่าวคือ เป็นระยะเวลาที่บัญชีผู้ใช้จะยังคงอยู่ ล็อกเนื่องจากมีความพยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกันเกินจำนวนครั้งที่กำหนดโดย pwdMaxFailure

หากตั้งค่า pwdLockoutDuration เป็น 0 บัญชีผู้ใช้จะยังคงล็อกไว้ จนกว่าผู้ดูแลระบบจะปลดล็อก

โปรดดูที่การปลดล็อกบัญชีผู้ใช้

หาก pwdLockoutDuration มีค่าเป็น >0 และแอตทริบิวต์จะกำหนดระยะเวลาที่บัญชีผู้ใช้จะยังคงอยู่ ล็อกอยู่ เมื่อพ้นช่วงเวลานี้ บัญชีผู้ใช้จะถูก ปลดล็อกอยู่

เราขอแนะนำให้กำหนดค่าแอตทริบิวต์นี้เป็นค่าเดียวกับ pwdFailureCountInterval

 300 
pwdMaxAge

จำนวนวินาทีที่รหัสผ่านของผู้ใช้ (ที่ไม่ใช่ของผู้ดูแลระบบ) จะหมดอายุ ค่า 0 หมายความว่ารหัสผ่านไม่มีวันหมดอายุ ค่าเริ่มต้น 2592000 ตรงกับ 30 วันนับจากวันที่ เวลาที่สร้างรหัสผ่าน

ผู้ใช้: 2592000

ผู้ดูแลระบบ: 0

 
pwdMaxFailure

จำนวนครั้งที่พยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกันซึ่งหลังจากนั้นจะไม่สามารถใช้รหัสผ่านได้ ตรวจสอบสิทธิ์ผู้ใช้กับไดเรกทอรี

 3 
pwdMinLength

ระบุจำนวนอักขระขั้นต่ำที่ต้องใช้เมื่อตั้งค่ารหัสผ่าน

 8

การปลดล็อกบัญชีผู้ใช้

บัญชีของผู้ใช้อาจล็อกเนื่องจากแอตทริบิวต์ที่กำหนดไว้ในนโยบายรหัสผ่าน ผู้ใช้ที่มี บทบาท Apigee ของผู้ดูแลระบบที่ได้รับมอบหมายจะใช้การเรียก API ต่อไปนี้เพื่อปลดล็อก ของคุณได้ แทนที่ userEmail, adminEmail และ password ด้วยค่าจริง

วิธีปลดล็อกผู้ใช้

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password