يستخدم نظام Apigee بروتوكول OpenLDAP لمصادقة المستخدمين في بيئة إدارة واجهة برمجة التطبيقات. يوفر بروتوكول OpenLDAP وظيفة نهج كلمة مرور LDAP هذه.
يصف هذا القسم كيفية ضبط سياسة كلمة مرور LDAP التلقائية التي تم تسليمها. يمكنك استخدام سياسة كلمات المرور هذه لضبط الخيارات المتنوعة لمصادقة كلمة المرور، مثل عدد محاولات تسجيل الدخول الفاشلة المتتالية التي تعذّر بعدها استخدام كلمة المرور لمصادقة مستخدم إلى الدليل.
يوضِّح هذا القسم أيضًا طريقة استخدام واجهتَي برمجة تطبيقات لفتح قفل حسابات المستخدمين المقفلة وفقًا للسمات التي تم ضبطها في السياسة التلقائية لكلمات المرور.
للحصول على معلومات إضافية، راجع:
ضبط السياسة التلقائية لكلمات مرور LDAP
ويوضح هذا القسم كيفية تهيئة سياسة كلمات المرور الافتراضية لبروتوكول LDAP على ما يلي:
تهيئة السياسة التلقائية لكلمة مرور LDAP لمستخدمي Edge ومشرف النظام الأصلي
لإعداد السياسة التلقائية لكلمة مرور LDAP لمستخدمي Edge ومشرف النظام الأصلي:
- يمكنك الربط بخادم LDAP باستخدام برنامج LDAP، مثل Apache Studio أو ldapmodify. يستمع خادم OpenLDAP تلقائيًا إلى المنفذ 10389 في عقدة OpenLDAP.
للاتصال، حدِّد الاسم المميز للربط أو مستخدم
cn=manager,dc=apigee,dc=com
وكلمة مرور OpenLDAP التي تضبطها في وقت تثبيت Edge. - استخدِم البرنامج للانتقال إلى سمات سياسة كلمات المرور لما يلي:
- مستخدمو Edge:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- مشرف نظم Edge الأصلي:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
ملاحظة: لإعداد سياسة كلمة مرور LDAP لمشرفي النظم الإضافيين (بخلاف مشرف النظم الأصلي)، يجب ضبط سياسة كلمة مرور LDAP لمشرفي النظم الإضافيين أدناه.
- مستخدمو Edge:
- عدِّل قيم سمة سياسة كلمة المرور على النحو المطلوب.
- احفظ الضبط.
تهيئة سياسة كلمة مرور LDAP لمشرفي النظم الإضافيين
عند إضافة مستخدمي إدارة النظم إلى Edge، فإنهم يكتسبون سياسة كلمة المرور التلقائية، بدلاً من سياسة كلمة مرور مسؤول إدارة النظم لمسؤول إدارة النظم الأصلي. تنتهي صلاحية السياسة التلقائية لكلمات المرور بعد مدة زمنية معيّنة ما لم يتم ضبطها لفعل ذلك. لضبط سياسة كلمة المرور الخاصة بمستخدمي مشرفي النظم الإضافيين بحيث لا تنتهي صلاحيتها، يُرجى اتّباع الخطوات التالية:
- ابحث عن
dn
لجميع مسؤولي إدارة النظم من خلال تشغيل هذا الأمر:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base -LLL
تعرض النتيجة مستخدمي مشرفي النظم كـ
roleOccupant
:dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com objectClass: organizationalRole objectClass: top cn: sysadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
- أنشئ ملفًا جديدًا باسم
ppchange.ldif
وأضِف ما يلي إليه (بدلاً من اسم النطاق الخاص بالمستخدم الخاص بمشرف النظم):dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- عدِّل المستخدم من خلال إدخال الأمر التالي:
ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
- تأكَّد من التغيير باستخدام أمر البحث
ldap
:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
ستعرض النتيجة إضافة
pwdPolicySubentry
:dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- كرِّر الخطوة من 2 إلى 4 لكل مسؤول من مسؤولي إدارة النظم.
سمات سياسة كلمة المرور التلقائية في LDAP
السمة | الوصف | تلقائي |
---|---|---|
pwdExpireWarning |
أقصى عدد للثواني قبل انتهاء صلاحية كلمة المرور، وسيتم إرجاع رسائل التحذير بانتهاء الصلاحية إلى المستخدم الذي يقوم بالمصادقة على الدليل. |
604800 (ما يعادل 7 أيام) |
pwdFailureCountInterval |
عدد الثواني التي يتم بعدها إزالة محاولات الربط القديمة غير الناجحة المتعاقبة من عدّاد الإخفاقات. بمعنى آخر، هذا هو عدد الثواني التي تتم بعدها إعادة ضبط عدد محاولات تسجيل الدخول غير الناجحة المتتالية. في حال ضبط سياسة في حال ضبط السمة نقترح ضبط هذه السمة على القيمة نفسها للسمة |
300 |
pwdInHistory |
الحد الأقصى لعدد كلمات المرور المستخدمة أو السابقة للمستخدم الذي سيتم تخزينه في السمة عند تغيير كلمة مرورها، سيتم منع المستخدم من تغييرها إلى أي من كلمات المرور السابقة. |
3 |
pwdLockout |
إذا تم ضبط السياسة |
خطأ |
pwdLockoutDuration |
عدد الثواني التي لا يمكن خلالها استخدام كلمة المرور لمصادقة المستخدم بسبب عدد كبير جدًا من محاولات تسجيل الدخول الفاشلة المتتالية. بمعنى آخر، هذه هي المدة الزمنية التي يظل فيها حساب المستخدم مقفلاً بسبب تجاوز عدد محاولات تسجيل الدخول الفاشلة المتتالية التي حدّدتها السمة إذا تم ضبط يُرجى الاطّلاع على فتح قفل حساب المستخدم. إذا تم ضبط السمة نقترح ضبط هذه السمة على القيمة نفسها للسمة |
300 |
pwdMaxAge |
عدد الثواني التي تنتهي بعدها صلاحية كلمة مرور المستخدم (غير مسؤول عن إدارة النظم). وتعني القيمة 0 عدم انتهاء صلاحية كلمات المرور. تتطابق القيمة التلقائية 2592000 مع 30 يومًا من وقت إنشاء كلمة المرور. |
المستخدم: 2592000 مسؤول إدارة النظم: 0 |
pwdMaxFailure |
عدد محاولات تسجيل الدخول الفاشلة المتتالية التي لا يمكن بعدها استخدام كلمة المرور لمصادقة مستخدم إلى الدليل. |
3 |
pwdMinLength |
تحدد هذه السمة الحد الأدنى لعدد الأحرف المطلوبة عند ضبط كلمة مرور. |
8 |
فتح قفل حساب مستخدم
قد يتم قفل حساب مستخدم بسبب السمات المحدَّدة في سياسة كلمة المرور. ويمكن للمستخدم الذي تم إسناد دور "واجهة برمجة تطبيقات مشرف النظام" إليه استخدام طلب البيانات التالي من واجهة برمجة التطبيقات لفتح قفل حساب المستخدم. استبدِل userEmail وadminEmail وpassword بقيم فعلية.
لفتح قفل المستخدم:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password