Gestion de la règle de mot de passe LDAP par défaut pour la gestion des API

Le système Apigee utilise OpenLDAP pour authentifier les utilisateurs dans votre environnement de gestion d'API. OpenLDAP rend disponible cette fonctionnalité de stratégie de mot de passe LDAP.

Cette section explique comment configurer la règle de mot de passe LDAP par défaut transmis. Utilisez ces règles relatives aux mots de passe pour configurer diverses options d'authentification par mot de passe, telles que le nombre de tentatives de connexion infructueuses consécutives après lesquelles un mot de passe ne peut plus être utilisé pour authentifier un utilisateur dans l'annuaire.

Cette section explique également comment utiliser quelques API pour déverrouiller des comptes utilisateur qui ont été verrouillés en fonction des attributs configurés dans la stratégie de mot de passe par défaut.

Pour en savoir plus, consultez les pages suivantes :

Configuration de la règle de mot de passe LDAP par défaut

Cette section explique comment configurer la règle de mot de passe LDAP par défaut pour:

Configuration de la stratégie de mot de passe LDAP par défaut pour les utilisateurs Edge et l'administrateur système d'origine

Pour configurer la stratégie de mot de passe LDAP par défaut pour les utilisateurs Edge et l'administrateur système d'origine:

  1. Connectez-vous à votre serveur LDAP à l'aide d'un client LDAP, tel qu'Apache Studio ou ldapmodify. Par défaut, le serveur OpenLDAP écoute sur le port 10389 du nœud OpenLDAP.

    Pour vous connecter, spécifiez le nom distinctif (ou l'utilisateur) de liaison de cn=manager,dc=apigee,dc=com et le mot de passe OpenLDAP que vous avez défini lors de l'installation d'Edge.

  2. Utilisez le client pour accéder aux attributs de la règle relative aux mots de passe pour :
  3. Modifiez les valeurs d'attribut de la règle relative aux mots de passe selon vos besoins.
  4. Enregistrez la configuration.

Configuration de la stratégie de mot de passe LDAP pour les administrateurs système supplémentaires

Lorsque vous ajoutez des utilisateurs "sysadmin" à Edge, ils héritent de la stratégie de mot de passe par défaut, plutôt que de la stratégie de mot de passe d'administrateur système d'origine. La stratégie de mot de passe par défaut expire après un certain temps, sauf si vous la configurez pour le faire autrement. Pour définir la stratégie relative aux mots de passe des administrateurs système supplémentaires afin qu'elle n'expire pas, procédez comme suit:

  1. Recherchez tous les administrateurs système (dn) en exécutant la commande suivante : 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

    La sortie affiche les utilisateurs système comme roleOccupant:

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. Créez un fichier nommé ppchange.ldif et ajoutez-y ce qui suit (en remplaçant le nom de votre propre administrateur système) : 
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. Modifiez l'utilisateur en saisissant la commande suivante : 
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. Vérifiez la modification à l'aide de la commande de recherche ldap : 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

    Le résultat indique l'ajout de pwdPolicySubentry : 

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

  5. Répétez les étapes 2 à 4 pour chaque administrateur système.

Attributs de la règle relative aux mots de passe LDAP par défaut

Attribut Description Par défaut 
pwdExpireWarning
 Délai maximal, en secondes, avant l'expiration d'un mot de passe. Des messages d'avertissement d'expiration sont renvoyés à l'utilisateur qui s'authentifie dans l'annuaire.

604800

(équivalent à 7 jours)

 
pwdFailureCountInterval

Nombre de secondes après lesquelles les anciennes tentatives de liaison ayant échoué consécutives sont supprimées définitivement du compteur d'échecs.

En d'autres termes, il s'agit du nombre de secondes au bout de laquelle le nombre de tentatives de connexion infructueuses consécutives est réinitialisé.

Si pwdFailureCountInterval est défini sur 0, seule une authentification réussie peut réinitialiser le compteur.

Si pwdFailureCountInterval est défini sur >0, l'attribut définit une durée au terme de laquelle le nombre de tentatives de connexion infructueuses consécutives est automatiquement réinitialisé, même si aucune authentification n'a réussi.

Nous vous recommandons de définir cet attribut sur la même valeur que l'attribut pwdLockoutDuration.

 300 
pwdInHistory

Nombre maximal de mots de passe utilisés ou passés par un utilisateur qui seront stockés dans l'attribut pwdHistory.

Si elle modifie son mot de passe, l'utilisateur ne pourra pas le remplacer par ses anciens mots de passe.

 3 
pwdLockout

Si la valeur est TRUE, spécifie qu'un utilisateur doit être verrouillé lorsque son mot de passe expire, afin qu'il ne puisse plus se connecter.

 Faux 
pwdLockoutDuration

Nombre de secondes pendant lesquelles un mot de passe ne peut pas être utilisé pour authentifier l'utilisateur en raison d'un trop grand nombre de tentatives de connexion infructueuses consécutives.

En d'autres termes, il s'agit de la durée pendant laquelle un compte utilisateur reste verrouillé en raison du dépassement du nombre de tentatives de connexion infructueuses consécutives défini par l'attribut pwdMaxFailure.

Si pwdLockoutDuration est défini sur 0, le compte utilisateur reste verrouillé jusqu'à ce qu'un administrateur système le déverrouille.

Consultez Déverrouiller un compte utilisateur.

Si pwdLockoutDuration est défini sur >0, l'attribut définit la durée pendant laquelle le compte utilisateur restera verrouillé. Une fois cette période écoulée, le compte utilisateur est automatiquement déverrouillé.

Nous vous recommandons de définir cet attribut sur la même valeur que l'attribut pwdFailureCountInterval.

 300 
pwdMaxAge

Durée en secondes après laquelle le mot de passe d'un utilisateur (non-administrateur système) expire. La valeur 0 signifie que les mots de passe n'expirent pas. La valeur par défaut de 2592 000 correspond à 30 jours à compter de la création du mot de passe.

utilisateur: 2 592 000

sysadmin: 0

 
pwdMaxFailure

Nombre de tentatives de connexion infructueuses consécutives au-delà desquelles un mot de passe ne peut pas être utilisé pour authentifier un utilisateur auprès de l'annuaire.

 3 
pwdMinLength

Spécifie le nombre minimal de caractères requis lors de la définition d'un mot de passe.

 8

Déverrouiller un compte utilisateur

Le compte d'un utilisateur peut être verrouillé en raison d'attributs définis dans la règle relative aux mots de passe. Un utilisateur doté du rôle Apigee d'administrateur système peut utiliser l'appel d'API suivant pour déverrouiller son compte. Remplacez userEmail, adminEmail et password par des valeurs réelles.

Pour déverrouiller un utilisateur:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password