Gestion de la règle de mot de passe LDAP par défaut pour la gestion des API

Le système Apigee utilise OpenLDAP pour authentifier les utilisateurs dans votre environnement de gestion des API. OpenLDAP permet d'utiliser cette fonctionnalité de stratégie de mot de passe LDAP.

Cette section explique comment configurer la stratégie de mot de passe LDAP par défaut fournie. Utilisez cette règle de mot de passe pour configurer diverses options d'authentification par mot de passe, telles que le nombre de tentatives de connexion infructueuses consécutives à partir desquelles un mot de passe ne peut plus être utilisé pour authentifier un utilisateur dans l'annuaire.

Cette section explique également comment utiliser quelques API pour déverrouiller des comptes utilisateur verrouillés en fonction d'attributs configurés dans la règle de mot de passe par défaut.

Pour en savoir plus, consultez les pages suivantes :

Configurer la stratégie de mot de passe LDAP par défaut

Cette section explique comment configurer la stratégie de mot de passe LDAP par défaut pour:

Configurer la stratégie de mot de passe LDAP par défaut pour les utilisateurs Edge et l'administrateur système d'origine

Pour configurer la stratégie de mot de passe LDAP par défaut pour les utilisateurs Edge et l'administrateur système d'origine:

  1. Connectez-vous à votre serveur LDAP à l'aide d'un client LDAP tel qu'Apache Studio ou ldapmodify. Par défaut, le serveur OpenLDAP écoute le port 10389 du nœud OpenLDAP.

    Pour vous connecter, spécifiez le nom distinctif de liaison ou l'utilisateur de cn=manager,dc=apigee,dc=com et le mot de passe OpenLDAP que vous avez défini au moment de l'installation de Edge.

  2. Utilisez le client pour accéder aux attributs de stratégie de mot de passe pour :
    • Utilisateurs Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • L'administrateur système Edge d'origine: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
      Remarque:Pour configurer la règle de mot de passe LDAP pour d'autres administrateurs système (autres que l'administrateur système d'origine), consultez la section Configurer la règle de mot de passe LDAP pour d'autres administrateurs système ci-dessous.
  3. Modifiez les valeurs des attributs des règles relatives aux mots de passe si vous le souhaitez.
  4. Enregistrez la configuration.

Configurer la règle de mot de passe LDAP pour d'autres administrateurs système

Lorsque vous ajoutez des utilisateurs administrateur système à Edge, ils héritent de la stratégie de mot de passe par défaut, et non de la stratégie de mot de passe de l'administrateur système d'origine. La règle de mot de passe par défaut expire après un certain temps, sauf si vous la configurez autrement. Pour définir la stratégie de mots de passe des utilisateurs "sysadmin" supplémentaires afin qu'elle n'expire pas, procédez comme suit:

  1. Recherchez la dn de tous les administrateurs système en exécutant la commande suivante : 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

    Le résultat affiche les utilisateurs sysadmin comme roleOccupant:

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. Créez un fichier nommé ppchange.ldif et ajoutez-y ce qui suit (en remplaçant le DN de votre propre utilisateur système) : 
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. Modifiez l'utilisateur en saisissant la commande suivante : 
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. Vérifiez la modification à l'aide de la commande de recherche ldap : 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

    Le résultat affichera l'ajout de pwdPolicySubentry : 

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

  5. Répétez les étapes 2 à 4 pour chaque administrateur système.

Attributs de stratégie de mot de passe LDAP par défaut

Attribut Description Par défaut 
pwdExpireWarning
 Nombre maximal de secondes avant l'expiration d'un mot de passe pendant lesquelles des messages d'avertissement d'expiration seront renvoyés à un utilisateur qui s'authentifie auprès du répertoire.

604800

(équivalent à sept jours)

 
pwdFailureCountInterval

Nombre de secondes au terme desquelles les anciennes tentatives de liaison consécutives ayant échoué sont supprimées définitivement du compteur d'échecs.

En d'autres termes, il s'agit du nombre de secondes au terme desquelles le nombre de tentatives de connexion infructueuses consécutives est réinitialisé.

Si pwdFailureCountInterval est défini sur 0, seule une authentification réussie peut réinitialiser le compteur.

Si pwdFailureCountInterval est défini sur >0, l'attribut définit une durée après laquelle le nombre de tentatives de connexion infructueuses consécutives est automatiquement réinitialisé, même si aucune authentification n'a abouti.

Nous vous suggérons de définir ce paramètre sur la même valeur que l'attribut pwdLockoutDuration.

 300 
pwdInHistory

Nombre maximal de mots de passe utilisés ou passés pour un utilisateur qui seront stockés dans l'attribut pwdHistory.

Lors de la modification de son mot de passe, l'utilisateur ne pourra pas le remplacer par l'un de ses anciens mots de passe.

 3 
pwdLockout

Si la valeur est TRUE, spécifie le verrouillage d'un utilisateur lorsque son mot de passe expire, afin qu'il ne puisse plus se connecter.

 Faux 
pwdLockoutDuration

Nombre de secondes pendant lesquelles un mot de passe ne peut pas être utilisé pour authentifier l'utilisateur en raison d'un trop grand nombre de tentatives de connexion infructueuses consécutives.

En d'autres termes, il s'agit de la durée pendant laquelle un compte utilisateur reste verrouillé en raison du dépassement du nombre de tentatives de connexion infructueuses consécutives défini par l'attribut pwdMaxFailure.

Si pwdLockoutDuration est défini sur 0, le compte utilisateur reste verrouillé jusqu'à ce qu'un administrateur système le déverrouille.

Consultez Déverrouiller un compte utilisateur.

Si pwdLockoutDuration est défini sur >0, l'attribut définit la durée pendant laquelle le compte utilisateur restera verrouillé. Une fois ce délai écoulé, le compte utilisateur sera automatiquement déverrouillé.

Nous vous suggérons de définir cette valeur sur la même valeur que celle de l'attribut pwdFailureCountInterval.

 300 
pwdMaxAge

Nombre de secondes après lesquelles un mot de passe utilisateur (non administrateur système) expire. Une valeur de 0 signifie que les mots de passe n'expirent pas. La valeur par défaut de 2 592 000 correspond à 30 jours à compter de la date de création du mot de passe.

user: 2592000

sysadmin: 0

 
pwdMaxFailure

Nombre de tentatives de connexion infructueuses consécutives après lesquelles un mot de passe ne peut plus être utilisé pour authentifier un utilisateur dans le répertoire.

 3 
pwdMinLength

Indique le nombre minimal de caractères requis lors de la définition d'un mot de passe.

 8

Déverrouiller un compte utilisateur

Le compte d'un utilisateur peut être verrouillé en raison d'attributs définis dans la règle relative aux mots de passe. Un utilisateur disposant du rôle Apigee "administrateur système" peut utiliser l'appel d'API suivant pour déverrouiller son compte. Remplacez userEmail, adminEmail et password par des valeurs réelles.

Pour déverrouiller un utilisateur:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password