سیستم Apigee از OpenLDAP برای احراز هویت کاربران در محیط مدیریت API شما استفاده می کند. OpenLDAP این قابلیت خط مشی رمز عبور LDAP را در دسترس قرار می دهد.
این بخش نحوه پیکربندی خط مشی رمز عبور پیش فرض LDAP تحویل داده شده را توضیح می دهد. از این خط مشی رمز عبور برای پیکربندی گزینه های مختلف احراز هویت رمز عبور استفاده کنید، مانند تعداد تلاش های متوالی برای ورود ناموفق که پس از آن دیگر نمی توان از رمز عبور برای احراز هویت کاربر در فهرست استفاده کرد.
این بخش همچنین نحوه استفاده از چند API را برای باز کردن قفل حساب های کاربری که طبق ویژگی های پیکربندی شده در خط مشی رمز عبور پیش فرض قفل شده اند، توضیح می دهد.
برای اطلاعات بیشتر، نگاه کنید به:
پیکربندی خط مشی رمز عبور پیش فرض LDAP
این بخش نحوه پیکربندی خط مشی رمز عبور پیش فرض LDAP را توضیح می دهد:
پیکربندی خط مشی رمز عبور پیشفرض LDAP برای کاربران Edge و sysadmin اصلی
برای پیکربندی خط مشی رمز عبور پیشفرض LDAP برای کاربران Edge و sysadmin اصلی:
- با استفاده از یک کلاینت LDAP مانند Apache Studio یا ldapmodify به سرور LDAP خود متصل شوید. به طور پیش فرض سرور OpenLDAP به پورت 10389 در گره OpenLDAP گوش می دهد.
برای اتصال، Bind DN یا کاربر
cn=manager,dc=apigee,dc=com
و رمز عبور OpenLDAP را که در زمان نصب Edge تنظیم کردید، مشخص کنید. - از مشتری برای پیمایش به ویژگی های خط مشی رمز عبور برای موارد زیر استفاده کنید:
- کاربران Edge:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- Sysadmin اصلی Edge:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
توجه: برای پیکربندی خطمشی رمز عبور LDAP برای sysadminهای اضافی (غیر از sysadmin اصلی)، پیکربندی خطمشی رمز عبور LDAP برای sysadminهای اضافی در زیر.
- کاربران Edge:
- مقادیر مشخصه سیاست رمز عبور را به دلخواه ویرایش کنید.
- پیکربندی را ذخیره کنید.
پیکربندی خط مشی رمز عبور LDAP برای sysadmin های اضافی
وقتی کاربران sysadmin را به Edge اضافه میکنید، به جای خطمشی رمز عبور sysadmin از sysadmin اصلی، خطمشی رمز عبور پیشفرض را به ارث میبرند. خط مشی رمز عبور پیش فرض پس از مدت زمان معینی منقضی می شود، مگر اینکه به گونه ای دیگر پیکربندی شده باشد. برای تنظیم خط مشی رمز عبور اضافی کاربران sysadmin به طوری که منقضی نشود، این مراحل را دنبال کنید:
-
dn
all sysadmin ها را با اجرای این دستور پیدا کنید:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base -LLL
خروجی کاربران sysadmin را به عنوان
roleOccupant
نشان می دهد:dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com objectClass: organizationalRole objectClass: top cn: sysadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
- یک فایل جدید به نام
ppchange.ldif
ایجاد کنید و موارد زیر را به آن اضافه کنید (به جای dn کاربر sysadmin خود):dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- با وارد کردن دستور زیر کاربر را تغییر دهید:
ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
- تغییر را با دستور جستجوی
ldap
تأیید کنید:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
خروجی اضافه شدن
pwdPolicySubentry
را نشان می دهد:dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- مرحله 2 تا 4 را برای هر سیستم ادمین تکرار کنید.
ویژگی های خط مشی رمز عبور پیش فرض LDAP
صفت | توضیحات | پیش فرض |
---|---|---|
pwdExpireWarning | حداکثر تعداد ثانیه قبل از انقضای رمز عبور است که پیام های هشدار انقضا به کاربری که در حال احراز هویت به دایرکتوری است بازگردانده می شود. | 604800 (معادل 7 روز) |
pwdFailureCountInterval | تعداد ثانیههایی که پس از آن تلاشهای پیوند ناموفق قدیمی قدیمی از شمارنده شکست پاک میشوند. به عبارت دیگر، این تعداد ثانیههایی است که پس از آن تعداد تلاشهای ناموفق متوالی برای ورود به سیستم بازنشانی میشود. اگر اگر ما پیشنهاد می کنیم که این ویژگی با مقدار مشخصه | 300 |
pwdInHistory | حداکثر تعداد رمزهای عبور استفاده شده یا گذشته برای یک کاربر که در ویژگی هنگام تغییر رمز عبور، کاربر از تغییر آن به هر یک از رمزهای عبور قبلی خود مسدود می شود. | 3 |
pwdLockout | اگر | نادرست |
pwdLockoutDuration | تعداد ثانیههایی که به دلیل تلاشهای متوالی ناموفق برای ورود به سیستم، نمیتوان از رمز عبور برای احراز هویت کاربر استفاده کرد. به عبارت دیگر، این مدت زمانی است که در طی آن یک حساب کاربری به دلیل بیش از تعداد تلاشهای ناموفق متوالی برای ورود به سیستم توسط ویژگی اگر به باز کردن قفل حساب کاربری مراجعه کنید. اگر ما پیشنهاد می کنیم که این ویژگی با مقدار مشخصه | 300 |
pwdMaxAge | تعداد ثانیه هایی که پس از آن یک رمز عبور کاربری (غیر sysadmin) منقضی می شود. مقدار 0 به این معنی است که رمزهای عبور منقضی نمی شوند. مقدار پیش فرض 2592000 مربوط به 30 روز از زمان ایجاد رمز عبور است. | کاربر: 2592000 sysadmin: 0 |
pwdMaxFailure | تعداد تلاشهای متوالی ناموفق برای ورود به سیستم که پس از آن ممکن است از رمز عبور برای احراز هویت کاربر در فهرست استفاده نشود. | 3 |
pwdMinLength | حداقل تعداد کاراکترهای مورد نیاز هنگام تنظیم رمز عبور را مشخص می کند. | 8 |
باز کردن قفل حساب کاربری
حساب کاربری ممکن است به دلیل ویژگی های تعیین شده در خط مشی رمز عبور قفل شود. کاربری با نقش sysadmin Apigee اختصاص داده شده میتواند از تماس API زیر برای باز کردن قفل حساب کاربر استفاده کند. userEmail ، adminEmail و password را با مقادیر واقعی جایگزین کنید.
برای باز کردن قفل کاربر:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password