Cómo administrar la política de contraseñas LDAP predeterminada para la administración de API

El sistema de Apigee usa OpenLDAP para autenticar usuarios en el entorno de administración de la API. OpenLDAP pone a disposición esta funcionalidad de política de contraseñas de LDAP.

En esta sección, se describe cómo configurar la política de contraseñas de LDAP predeterminada entregadas. Usa esta política de contraseñas para configurar varias opciones de autenticación de contraseña, como la cantidad de intentos de acceso consecutivos fallidos después de los cuales ya no se podrá usar una contraseña para autenticar a un usuario en el directorio.

En esta sección, también se describe cómo usar un par de APIs para desbloquear cuentas de usuario que se bloquearon según los atributos configurados en la política de contraseñas predeterminada.

Para obtener información adicional, consulta:

Cómo configurar la política de contraseñas LDAP predeterminada

En esta sección, se explica cómo configurar la política de contraseñas LDAP predeterminada para:

Configurar la política de contraseñas LDAP predeterminada para los usuarios de Edge y el administrador del sistema original

Para configurar la política de contraseñas LDAP predeterminada para los usuarios de Edge y el administrador del sistema original, haz lo siguiente:

  1. Conéctese al servidor LDAP con un cliente de LDAP, como Apache Studio o ldapmodify. De forma predeterminada, el servidor OpenLDAP escucha en el puerto 10389 del nodo de OpenLDAP.

    Para conectarte, especifica el DN de vinculación o el usuario de cn=manager,dc=apigee,dc=com y la contraseña de OpenLDAP que estableciste en el momento de la instalación de Edge.

  2. Usa el cliente para navegar a los atributos de la política de contraseñas de lo siguiente:
  3. Edita los valores del atributo de la política de contraseñas como desees.
  4. Guarde la configuración.

Configura la política de contraseñas de LDAP para los administradores de sistemas adicionales

Cuando agregas usuarios administradores del sistema a Edge, estos heredan la política de contraseñas predeterminada, en lugar de la política de contraseñas del administrador del sistema original. La política de contraseñas predeterminada vence después de un período determinado, a menos que se configure de otra manera. Para configurar la política de contraseñas de los usuarios del administrador del sistema adicional a fin de que no venza, sigue estos pasos:

  1. Para buscar todos los administradores del sistema dn, ejecuta este comando:
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
     -LLL

    El resultado muestra los usuarios sysadmin como roleOccupant:

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
    objectClass: organizationalRole
    objectClass: top
    cn: sysadmin
    roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
    roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. Crea un archivo nuevo llamado ppchange.ldif y agrégale lo siguiente (reemplaza la dn de tu propio usuario de administrador del sistema):
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
    changetype: modify
    add: pwdPolicySubentry
    pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. Para modificar el usuario, ingresa el siguiente comando:
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. Verifica el cambio con el comando de búsqueda ldap:
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
    .

    El resultado mostraría la adición de pwdPolicySubentry:

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
    pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

  5. Repite del paso 2 al 4 para cada administrador del sistema.

Atributos predeterminados de la política de contraseñas LDAP

Atributo Descripción Predeterminada
pwdExpireWarning
La cantidad máxima de segundos antes de que venza una contraseña para que los mensajes de advertencia de vencimiento se muestren al usuario que se está autenticando en el directorio.

604800

(equivalente a 7 días)

pwdFailureCountInterval

Cantidad de segundos después de los cuales se borran definitivamente los antiguos intentos de vinculación fallidos consecutivos del contador de fallas.

En otras palabras, esta es la cantidad de segundos después de los cuales se restablece el recuento de intentos de acceso consecutivos fallidos.

Si pwdFailureCountInterval se establece en 0, solo una autenticación exitosa puede restablecer el contador.

Si pwdFailureCountInterval se establece en >0, el atributo define una duración después de la cual el recuento de intentos de acceso consecutivos fallidos se restablecerá automáticamente, incluso si no se realizó correctamente ninguna autenticación.

Te recomendamos que establezcas este atributo con el mismo valor que el atributo pwdLockoutDuration.

300
pwdInHistory

Cantidad máxima de contraseñas usadas o anteriores para un usuario que se almacenarán en el atributo pwdHistory.

Cuando cambie la contraseña, el usuario no podrá cambiarla por ninguna de sus contraseñas anteriores.

3
pwdLockout

Si es TRUE, especifica que se bloqueará a un usuario cuando venza su contraseña para que ya no pueda acceder.

Falso
pwdLockoutDuration

Cantidad de segundos durante los cuales no se puede usar una contraseña para autenticar al usuario debido a demasiados intentos de acceso consecutivos fallidos.

En otras palabras, esta es la cantidad de tiempo durante el cual una cuenta de usuario permanecerá bloqueada debido a que se superó la cantidad de intentos de acceso consecutivos fallidos que estableció el atributo pwdMaxFailure.

Si se establece pwdLockoutDuration en 0, la cuenta de usuario permanecerá bloqueada hasta que un administrador del sistema la desbloquee.

Consulta Cómo desbloquear una cuenta de usuario.

Si se configura pwdLockoutDuration en >0, el atributo define el tiempo durante el cual la cuenta de usuario permanecerá bloqueada. Cuando haya transcurrido este período, la cuenta de usuario se desbloqueará automáticamente.

Te recomendamos que establezcas este atributo con el mismo valor que el atributo pwdFailureCountInterval.

300
pwdMaxAge

Cantidad de segundos después de los cuales vence la contraseña de un usuario (que no es sysadmin). Un valor de 0 significa que las contraseñas no vencen. El valor predeterminado de 2592000 corresponde a 30 días desde el momento en que se creó la contraseña.

usuario: 2592000

administrador del sistema: 0

pwdMaxFailure

Cantidad de intentos de acceso consecutivos después de los cuales no se puede usar una contraseña para autenticar a un usuario en el directorio.

3
pwdMinLength

Especifica la cantidad mínima de caracteres requeridos para configurar una contraseña.

8

Desbloqueo de una cuenta de usuario

La cuenta de un usuario puede estar bloqueada debido a los atributos establecidos en la política de contraseñas. Un usuario con el rol de Apigee de administrador del sistema asignado puede usar la siguiente llamada a la API para desbloquear la cuenta del usuario. Reemplaza userEmail, adminEmail y password por valores reales.

Para desbloquear a un usuario, haz lo siguiente:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password