Cómo administrar la política de contraseñas LDAP predeterminada para la administración de API

El sistema de Apigee usa OpenLDAP para autenticar usuarios en tu entorno de administración de APIs. OpenLDAP pone a disposición esta funcionalidad de la política de contraseñas de LDAP.

En esta sección, se describe cómo configurar la política de contraseñas de LDAP predeterminada proporcionada. Usa esta política de contraseñas para configurar varias opciones de autenticación de contraseñas, como la cantidad de intentos de acceso consecutivos fallidos después de los cuales ya no se puede usar una contraseña para autenticar a un usuario en el directorio.

En esta sección, también se describe cómo usar un par de APIs para desbloquear cuentas de usuario que se bloquearon según los atributos configurados en la política de contraseña predeterminada.

Para obtener información adicional, consulta:

Cómo configurar la política de contraseñas predeterminada de LDAP

En esta sección, se explica cómo configurar la política de contraseñas de LDAP predeterminada para lo siguiente:

Configura la política de contraseñas de LDAP predeterminada para los usuarios de Edge y el administrador del sistema original

Para configurar la política de contraseñas de LDAP predeterminada para los usuarios de Edge y el administrador del sistema original, haz lo siguiente:

  1. Conéctate a tu servidor LDAP con un cliente LDAP, como Apache Studio o ldapmodify. De forma predeterminada, el servidor OpenLDAP escucha en el puerto 10389 del nodo de OpenLDAP.

    Para conectarte, especifica el DN de vinculación o el usuario de cn=manager,dc=apigee,dc=com y la contraseña de OpenLDAP que configuraste en el momento de la instalación de Edge.

  2. Usa el cliente para navegar a los atributos de la política de contraseñas de lo siguiente:
  3. Edita los valores de los atributos de la política de contraseñas como desees.
  4. Guarde la configuración.

Cómo configurar la política de contraseñas de LDAP para administradores del sistema adicionales

Cuando agregas usuarios de administrador del sistema a Edge, heredan la política de contraseñas predeterminada, en lugar de la política de contraseñas del administrador del sistema original. La política de contraseñas predeterminada vence después de una cierta cantidad de tiempo, a menos que se configure de otra manera. Para establecer la política de contraseñas de los usuarios adicionales de administrador del sistema de modo que no venza, sigue estos pasos:

  1. Ejecuta el siguiente comando para encontrar el dn de todos los administradores del sistema: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

    El resultado muestra los usuarios administradores del sistema como roleOccupant:

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. Crea un archivo nuevo llamado ppchange.ldif y agrégale lo siguiente (reemplaza el dn de tu propio usuario de administrador del sistema): 
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. Para modificar el usuario, ingresa el siguiente comando: 
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. Verifica el cambio con el comando de búsqueda ldap: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

    El resultado mostraría la adición de pwdPolicySubentry: 

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

  5. Repite los pasos del 2 al 4 para cada administrador del sistema.

Atributos predeterminados de la política de contraseñas de LDAP

Atributo Descripción Predeterminada 
pwdExpireWarning
 Es la cantidad máxima de segundos antes de que venza una contraseña que se mostrarán los mensajes de advertencia de vencimiento a un usuario que se autentica en el directorio.

604800

(equivalente a 7 días)

 
pwdFailureCountInterval

Cantidad de segundos después de los cuales se borran definitivamente los intentos de vinculación fallidos consecutivos del contador de fallas.

En otras palabras, esta es la cantidad de segundos después de los cuales se restablece el recuento de intentos de acceso fallidos consecutivos.

Si pwdFailureCountInterval se establece en 0, solo una autenticación exitosa puede restablecer el contador.

Si pwdFailureCountInterval se establece en >0, el atributo define una duración después de la cual el recuento de intentos de acceso consecutivos fallidos se restablece automáticamente, incluso si no se produjo una autenticación correcta.

Te sugerimos que este atributo se establezca en el mismo valor que el atributo pwdLockoutDuration.

 300 
pwdInHistory

Es la cantidad máxima de contraseñas usadas o anteriores de un usuario que se almacenarán en el atributo pwdHistory.

Cuando cambie su contraseña, no podrá cambiarla a ninguna de sus contraseñas anteriores.

 3 
pwdLockout

Si es TRUE, especifica que se debe bloquear a un usuario cuando venza su contraseña para que ya no pueda acceder.

 Falso 
pwdLockoutDuration

Cantidad de segundos en los que no se puede usar una contraseña para autenticar al usuario debido a demasiados intentos de acceso fallidos consecutivos.

En otras palabras, es el tiempo durante el cual una cuenta de usuario permanecerá bloqueada debido a que se superó la cantidad de intentos de acceso consecutivos fallidos establecidos por el atributo pwdMaxFailure.

Si pwdLockoutDuration se establece en 0, la cuenta de usuario permanecerá bloqueada hasta que un administrador del sistema la desbloquee.

Consulta Cómo desbloquear una cuenta de usuario.

Si pwdLockoutDuration está configurado como >0, el atributo define una duración durante la cual la cuenta de usuario permanecerá bloqueada. Cuando transcurra este período, la cuenta de usuario se desbloqueará automáticamente.

Te sugerimos que este atributo se establezca con el mismo valor que el atributo pwdFailureCountInterval.

 300 
pwdMaxAge

Es la cantidad de segundos después de los cuales vence la contraseña de un usuario (no administrador del sistema). Un valor de 0 significa que las contraseñas no vencen. El valor predeterminado de 2592000 corresponde a 30 días a partir del momento en que se creó la contraseña.

user: 2592000

administrador del sistema: 0

 
pwdMaxFailure

Es la cantidad de intentos de acceso fallidos consecutivos después de los cuales es posible que no se pueda usar una contraseña para autenticar a un usuario en el directorio.

 3 
pwdMinLength

Especifica la cantidad mínima de caracteres requeridos para configurar una contraseña.

 8

Cómo desbloquear una cuenta de usuario

La cuenta de un usuario puede estar bloqueada debido a los atributos establecidos en la política de contraseñas. Un usuario con el rol de administrador de sistemas de Apigee asignado puede usar la siguiente llamada a la API para desbloquear su cuenta. Reemplaza userEmail, adminEmail y password por valores reales.

Para desbloquear a un usuario, haz lo siguiente:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password