إدارة السياسة التلقائية لكلمات مرور خدمة LDAP لإدارة واجهة برمجة التطبيقات

يستخدم نظام Apigee بروتوكول OpenLDAP لمصادقة المستخدمين في بيئة إدارة واجهة برمجة التطبيقات. يوفر بروتوكول OpenLDAP وظيفة نهج كلمة مرور LDAP هذه.

يصف هذا القسم كيفية ضبط سياسة كلمة مرور LDAP التلقائية التي تم تسليمها. يمكنك استخدام سياسة كلمات المرور هذه لضبط الخيارات المتنوعة لمصادقة كلمة المرور، مثل عدد محاولات تسجيل الدخول الفاشلة المتتالية التي تعذّر بعدها استخدام كلمة المرور لمصادقة مستخدم إلى الدليل.

يوضِّح هذا القسم أيضًا طريقة استخدام واجهتَي برمجة تطبيقات لفتح قفل حسابات المستخدمين المقفلة وفقًا للسمات التي تم ضبطها في السياسة التلقائية لكلمات المرور.

للحصول على معلومات إضافية، راجع:

ضبط السياسة التلقائية لكلمات مرور LDAP

ويوضح هذا القسم كيفية تهيئة سياسة كلمات المرور الافتراضية لبروتوكول LDAP على ما يلي:

تهيئة السياسة التلقائية لكلمة مرور LDAP لمستخدمي Edge ومشرف النظام الأصلي

لإعداد السياسة التلقائية لكلمة مرور LDAP لمستخدمي Edge ومشرف النظام الأصلي:

  1. يمكنك الربط بخادم LDAP باستخدام برنامج LDAP، مثل Apache Studio أو ldapmodify. يستمع خادم OpenLDAP تلقائيًا إلى المنفذ 10389 في عقدة OpenLDAP.

    للاتصال، حدِّد الاسم المميز للربط أو مستخدم cn=manager,dc=apigee,dc=com وكلمة مرور OpenLDAP التي تضبطها في وقت تثبيت Edge.

  2. استخدِم البرنامج للانتقال إلى سمات سياسة كلمات المرور لما يلي:
  3. عدِّل قيم سمة سياسة كلمة المرور على النحو المطلوب.
  4. احفظ الضبط.

تهيئة سياسة كلمة مرور LDAP لمشرفي النظم الإضافيين

عند إضافة مستخدمي إدارة النظم إلى Edge، فإنهم يكتسبون سياسة كلمة المرور التلقائية، بدلاً من سياسة كلمة مرور مسؤول إدارة النظم لمسؤول إدارة النظم الأصلي. تنتهي صلاحية السياسة التلقائية لكلمات المرور بعد مدة زمنية معيّنة ما لم يتم ضبطها لفعل ذلك. لضبط سياسة كلمة المرور الخاصة بمستخدمي مشرفي النظم الإضافيين بحيث لا تنتهي صلاحيتها، يُرجى اتّباع الخطوات التالية:

  1. ابحث عن dn لجميع مسؤولي إدارة النظم من خلال تشغيل هذا الأمر: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

    تعرض النتيجة مستخدمي مشرفي النظم كـ roleOccupant:

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. أنشئ ملفًا جديدًا باسم ppchange.ldif وأضِف ما يلي إليه (بدلاً من اسم النطاق الخاص بالمستخدم الخاص بمشرف النظم): 
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. عدِّل المستخدم من خلال إدخال الأمر التالي: 
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. تأكَّد من التغيير باستخدام أمر البحث ldap: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

    ستعرض النتيجة إضافة pwdPolicySubentry: 

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

  5. كرِّر الخطوة من 2 إلى 4 لكل مسؤول من مسؤولي إدارة النظم.

سمات سياسة كلمة المرور التلقائية في LDAP

السمة الوصف تلقائي 
pwdExpireWarning
 أقصى عدد للثواني قبل انتهاء صلاحية كلمة المرور، وسيتم إرجاع رسائل التحذير بانتهاء الصلاحية إلى المستخدم الذي يقوم بالمصادقة على الدليل.

604800

(ما يعادل 7 أيام)

 
pwdFailureCountInterval

عدد الثواني التي يتم بعدها إزالة محاولات الربط القديمة غير الناجحة المتعاقبة من عدّاد الإخفاقات.

بمعنى آخر، هذا هو عدد الثواني التي تتم بعدها إعادة ضبط عدد محاولات تسجيل الدخول غير الناجحة المتتالية.

في حال ضبط سياسة pwdFailureCountInterval على 0، ستتمكن عملية المصادقة الناجحة فقط من إعادة ضبط العدّاد.

في حال ضبط السمة pwdFailureCountInterval على القيمة أكبر من 0، تحدِّد السمة مدة تتم بعدها إعادة ضبط عدد محاولات تسجيل الدخول غير الناجحة المتتالية تلقائيًا، حتى في حال عدم حدوث أي مصادقة ناجحة.

نقترح ضبط هذه السمة على القيمة نفسها للسمة pwdLockoutDuration.

 300 
pwdInHistory

الحد الأقصى لعدد كلمات المرور المستخدمة أو السابقة للمستخدم الذي سيتم تخزينه في السمة pwdHistory.

عند تغيير كلمة مرورها، سيتم منع المستخدم من تغييرها إلى أي من كلمات المرور السابقة.

 3 
pwdLockout

إذا تم ضبط السياسة TRUE، يتم حظر مستخدم عند انتهاء صلاحية كلمة المرور حتى لا يتمكّن المستخدم من تسجيل الدخول مرة أخرى.

 خطأ 
pwdLockoutDuration

عدد الثواني التي لا يمكن خلالها استخدام كلمة المرور لمصادقة المستخدم بسبب عدد كبير جدًا من محاولات تسجيل الدخول الفاشلة المتتالية.

بمعنى آخر، هذه هي المدة الزمنية التي يظل فيها حساب المستخدم مقفلاً بسبب تجاوز عدد محاولات تسجيل الدخول الفاشلة المتتالية التي حدّدتها السمة pwdMaxFailure.

إذا تم ضبط pwdLockoutDuration على 0، سيظل حساب المستخدم مقفلاً إلى أن يفتح مشرف النظام قفله.

يُرجى الاطّلاع على فتح قفل حساب المستخدم.

إذا تم ضبط السمة pwdLockoutDuration على >0، تحدد السمة المدة التي يظل فيها حساب المستخدم مقفلاً. عند انقضاء هذه الفترة الزمنية، سيتم فتح قفل حساب المستخدم تلقائيًا.

نقترح ضبط هذه السمة على القيمة نفسها للسمة pwdFailureCountInterval.

 300 
pwdMaxAge

عدد الثواني التي تنتهي بعدها صلاحية كلمة مرور المستخدم (غير مسؤول عن إدارة النظم). وتعني القيمة 0 عدم انتهاء صلاحية كلمات المرور. تتطابق القيمة التلقائية 2592000 مع 30 يومًا من وقت إنشاء كلمة المرور.

المستخدم: 2592000

مسؤول إدارة النظم: 0

 
pwdMaxFailure

عدد محاولات تسجيل الدخول الفاشلة المتتالية التي لا يمكن بعدها استخدام كلمة المرور لمصادقة مستخدم إلى الدليل.

 3 
pwdMinLength

تحدد هذه السمة الحد الأدنى لعدد الأحرف المطلوبة عند ضبط كلمة مرور.

 8

فتح قفل حساب مستخدم

قد يتم قفل حساب مستخدم بسبب السمات المحدَّدة في سياسة كلمة المرور. ويمكن للمستخدم الذي تم إسناد دور "واجهة برمجة تطبيقات مشرف النظام" إليه استخدام طلب البيانات التالي من واجهة برمجة التطبيقات لفتح قفل حساب المستخدم. استبدِل userEmail وadminEmail وpassword بقيم فعلية.

لفتح قفل المستخدم:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password