مدیریت خط مشی رمز عبور پیش فرض LDAP برای مدیریت API، مدیریت خط مشی رمز عبور پیش فرض LDAP برای مدیریت API

سیستم Apigee از OpenLDAP برای احراز هویت کاربران در محیط مدیریت API شما استفاده می کند. OpenLDAP این قابلیت خط مشی رمز عبور LDAP را در دسترس قرار می دهد.

این بخش نحوه پیکربندی خط مشی رمز عبور پیش فرض LDAP تحویل داده شده را توضیح می دهد. از این خط مشی رمز عبور برای پیکربندی گزینه های مختلف احراز هویت رمز عبور استفاده کنید، مانند تعداد تلاش های متوالی برای ورود ناموفق که پس از آن دیگر نمی توان از رمز عبور برای احراز هویت کاربر در فهرست استفاده کرد.

این بخش همچنین نحوه استفاده از چند API را برای باز کردن قفل حساب های کاربری که طبق ویژگی های پیکربندی شده در خط مشی رمز عبور پیش فرض قفل شده اند، توضیح می دهد.

برای اطلاعات بیشتر، نگاه کنید به:

پیکربندی خط مشی رمز عبور پیش فرض LDAP

این بخش نحوه پیکربندی خط مشی رمز عبور پیش فرض LDAP را توضیح می دهد:

پیکربندی خط مشی رمز عبور پیش‌فرض LDAP برای کاربران Edge و sysadmin اصلی

برای پیکربندی خط مشی رمز عبور پیش‌فرض LDAP برای کاربران Edge و sysadmin اصلی:

  1. با استفاده از یک کلاینت LDAP مانند Apache Studio یا ldapmodify به سرور LDAP خود متصل شوید. به طور پیش فرض سرور OpenLDAP به پورت 10389 در گره OpenLDAP گوش می دهد.

    برای اتصال، Bind DN یا کاربر cn=manager,dc=apigee,dc=com و رمز عبور OpenLDAP را که در زمان نصب Edge تنظیم کردید، مشخص کنید.

  2. از مشتری برای پیمایش به ویژگی های خط مشی رمز عبور برای موارد زیر استفاده کنید:
  3. مقادیر مشخصه سیاست رمز عبور را به دلخواه ویرایش کنید.
  4. پیکربندی را ذخیره کنید.

پیکربندی خط مشی رمز عبور LDAP برای sysadmin های اضافی

وقتی کاربران sysadmin را به Edge اضافه می‌کنید، به جای خط‌مشی رمز عبور sysadmin از sysadmin اصلی، خط‌مشی رمز عبور پیش‌فرض را به ارث می‌برند. خط مشی رمز عبور پیش فرض پس از مدت زمان معینی منقضی می شود، مگر اینکه به گونه ای دیگر پیکربندی شده باشد. برای تنظیم خط مشی رمز عبور اضافی کاربران sysadmin به طوری که منقضی نشود، این مراحل را دنبال کنید:

  1. dn all sysadmin ها را با اجرای این دستور پیدا کنید: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

    خروجی کاربران sysadmin را به عنوان roleOccupant نشان می دهد:

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. یک فایل جدید به نام ppchange.ldif ایجاد کنید و موارد زیر را به آن اضافه کنید (به جای dn کاربر sysadmin خود): 
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. کاربر را با وارد کردن دستور زیر تغییر دهید: 
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. تغییر را با دستور جستجوی ldap تأیید کنید: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

    خروجی اضافه شدن pwdPolicySubentry را نشان می دهد: 

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  5. مرحله 2 تا 4 را برای هر سیستم ادمین تکرار کنید.

ویژگی های خط مشی رمز عبور پیش فرض LDAP

صفت شرح پیش فرض
pwdExpireWarning
 حداکثر تعداد ثانیه قبل از انقضای رمز عبور است که پیام های هشدار انقضا به کاربری که در حال احراز هویت به دایرکتوری است بازگردانده می شود.

604800

(معادل 7 روز)

pwdFailureCountInterval

تعداد ثانیه‌هایی که پس از آن تلاش‌های پیوند ناموفق قدیمی قدیمی از شمارنده شکست پاک می‌شوند.

به عبارت دیگر، این تعداد ثانیه هایی است که پس از آن تعداد تلاش های ناموفق متوالی برای ورود مجدد تنظیم می شود.

اگر pwdFailureCountInterval روی 0 تنظیم شود، فقط یک احراز هویت موفق می تواند شمارنده را بازنشانی کند.

اگر pwdFailureCountInterval روی >0 تنظیم شود، مشخصه مدت زمانی را مشخص می کند که پس از آن تعداد تلاش های متوالی ناموفق برای ورود به سیستم به طور خودکار بازنشانی می شود، حتی اگر احراز هویت موفقیت آمیزی انجام نشده باشد.

ما پیشنهاد می کنیم که این ویژگی با مقدار مشخصه pwdLockoutDuration تنظیم شود.

 300
pwdInHistory

حداکثر تعداد رمزهای عبور استفاده شده یا گذشته برای یک کاربر که در ویژگی pwdHistory ذخیره می شود.

هنگام تغییر رمز عبور، کاربر از تغییر آن به هر یک از رمزهای عبور قبلی خود مسدود می شود.

 3
pwdLockout

اگر TRUE باشد، مشخص می‌کند که پس از انقضای رمز عبور کاربر قفل شود تا کاربر دیگر نتواند به سیستم وارد شود.

 نادرست
pwdLockoutDuration

تعداد ثانیه‌هایی که به دلیل تلاش‌های متوالی ناموفق برای ورود به سیستم، نمی‌توان از رمز عبور برای احراز هویت کاربر استفاده کرد.

به عبارت دیگر، این مدت زمانی است که در طی آن یک حساب کاربری به دلیل بیش از تعداد تلاش‌های ناموفق متوالی برای ورود به سیستم توسط ویژگی pwdMaxFailure قفل می‌شود.

اگر pwdLockoutDuration روی 0 تنظیم شود، حساب کاربری قفل خواهد ماند تا زمانی که مدیر سیستم آن را باز کند.

به باز کردن قفل حساب کاربری مراجعه کنید.

اگر pwdLockoutDuration روی > 0 تنظیم شود، مشخصه مدت زمانی را تعریف می کند که حساب کاربری در آن قفل باقی می ماند. پس از سپری شدن این بازه زمانی، قفل حساب کاربری به طور خودکار باز می شود.

ما پیشنهاد می کنیم که این ویژگی با مقدار مشخصه pwdFailureCountInterval یکسان باشد.

 300
pwdMaxAge

تعداد ثانیه هایی که پس از آن یک رمز عبور کاربری (غیر sysadmin) منقضی می شود. مقدار 0 به این معنی است که رمزهای عبور منقضی نمی شوند. مقدار پیش فرض 2592000 مربوط به 30 روز از زمان ایجاد رمز عبور است.

کاربر: 2592000

sysadmin: 0

pwdMaxFailure

تعداد تلاش‌های متوالی ناموفق برای ورود به سیستم که پس از آن ممکن است از رمز عبور برای احراز هویت کاربر در فهرست استفاده نشود.

 3
pwdMinLength

حداقل تعداد کاراکترهای مورد نیاز هنگام تنظیم رمز عبور را مشخص می کند.

 8

باز کردن قفل حساب کاربری

حساب کاربری ممکن است به دلیل ویژگی های تعیین شده در خط مشی رمز عبور قفل شود. کاربری با نقش sysadmin Apigee اختصاص داده شده می‌تواند از تماس API زیر برای باز کردن قفل حساب کاربر استفاده کند. userEmail ، adminEmail و password با مقادیر واقعی جایگزین کنید.

برای باز کردن قفل کاربر:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password