Le système Apigee utilise OpenLDAP pour authentifier les utilisateurs dans votre environnement de gestion d'API. OpenLDAP rend disponible cette fonctionnalité de stratégie de mot de passe LDAP.
Cette section explique comment configurer la règle de mot de passe LDAP par défaut transmis. Utilisez ces règles relatives aux mots de passe pour configurer diverses options d'authentification par mot de passe, telles que le nombre de tentatives de connexion infructueuses consécutives après lesquelles un mot de passe ne peut plus être utilisé pour authentifier un utilisateur dans l'annuaire.
Cette section explique également comment utiliser quelques API pour déverrouiller des comptes utilisateur qui ont été verrouillés en fonction des attributs configurés dans la stratégie de mot de passe par défaut.
Pour en savoir plus, consultez les pages suivantes :
- Règle LDAP
- "Informations importantes concernant les règles relatives à vos mots de passe" dans la communauté Apigee
Configuration de la règle de mot de passe LDAP par défaut
Cette section explique comment configurer la règle de mot de passe LDAP par défaut pour:
Configuration de la stratégie de mot de passe LDAP par défaut pour les utilisateurs Edge et l'administrateur système d'origine
Pour configurer la stratégie de mot de passe LDAP par défaut pour les utilisateurs Edge et l'administrateur système d'origine:
- Connectez-vous à votre serveur LDAP à l'aide d'un client LDAP, tel qu'Apache Studio ou ldapmodify. Par défaut, le serveur OpenLDAP écoute sur le port 10389 du nœud OpenLDAP.
Pour vous connecter, spécifiez le nom distinctif (ou l'utilisateur) de liaison de
cn=manager,dc=apigee,dc=com
et le mot de passe OpenLDAP que vous avez défini lors de l'installation d'Edge. - Utilisez le client pour accéder aux attributs de la règle relative aux mots de passe pour :
- Utilisateurs en périphérie:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- Administrateur système Edge d'origine:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
Remarque:Pour configurer la stratégie de mot de passe LDAP pour des administrateurs système supplémentaires (autres que l'administrateur système d'origine), consultez la section Configurer la stratégie de mot de passe LDAP pour des administrateurs système supplémentaires ci-dessous.
- Utilisateurs en périphérie:
- Modifiez les valeurs d'attribut de la règle relative aux mots de passe selon vos besoins.
- Enregistrez la configuration.
Configuration de la stratégie de mot de passe LDAP pour les administrateurs système supplémentaires
Lorsque vous ajoutez des utilisateurs "sysadmin" à Edge, ils héritent de la stratégie de mot de passe par défaut, plutôt que de la stratégie de mot de passe d'administrateur système d'origine. La stratégie de mot de passe par défaut expire après un certain temps, sauf si vous la configurez pour le faire autrement. Pour définir la stratégie relative aux mots de passe des administrateurs système supplémentaires afin qu'elle n'expire pas, procédez comme suit:
- Recherchez tous les administrateurs système (
dn
) en exécutant la commande suivante :ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base -LLL
La sortie affiche les utilisateurs système comme
roleOccupant
:dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com objectClass: organizationalRole objectClass: top cn: sysadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
- Créez un fichier nommé
ppchange.ldif
et ajoutez-y ce qui suit (en remplaçant le nom de votre propre administrateur système) :dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Modifiez l'utilisateur en saisissant la commande suivante :
ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
- Vérifiez la modification à l'aide de la commande de recherche
ldap
:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
Le résultat indique l'ajout de
pwdPolicySubentry
:dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Répétez les étapes 2 à 4 pour chaque administrateur système.
Attributs de la règle relative aux mots de passe LDAP par défaut
Attribut | Description | Par défaut |
---|---|---|
pwdExpireWarning |
Délai maximal, en secondes, avant l'expiration d'un mot de passe. Des messages d'avertissement d'expiration sont renvoyés à l'utilisateur qui s'authentifie dans l'annuaire. |
604800 (équivalent à 7 jours) |
pwdFailureCountInterval |
Nombre de secondes après lesquelles les anciennes tentatives de liaison ayant échoué consécutives sont supprimées définitivement du compteur d'échecs. En d'autres termes, il s'agit du nombre de secondes au bout de laquelle le nombre de tentatives de connexion infructueuses consécutives est réinitialisé. Si Si Nous vous recommandons de définir cet attribut sur la même valeur que l'attribut |
300 |
pwdInHistory |
Nombre maximal de mots de passe utilisés ou passés par un utilisateur qui seront stockés dans l'attribut Si elle modifie son mot de passe, l'utilisateur ne pourra pas le remplacer par ses anciens mots de passe. |
3 |
pwdLockout |
Si la valeur est |
Faux |
pwdLockoutDuration |
Nombre de secondes pendant lesquelles un mot de passe ne peut pas être utilisé pour authentifier l'utilisateur en raison d'un trop grand nombre de tentatives de connexion infructueuses consécutives. En d'autres termes, il s'agit de la durée pendant laquelle un compte utilisateur reste verrouillé en raison du dépassement du nombre de tentatives de connexion infructueuses consécutives défini par l'attribut Si Consultez Déverrouiller un compte utilisateur. Si Nous vous recommandons de définir cet attribut sur la même valeur que l'attribut |
300 |
pwdMaxAge |
Durée en secondes après laquelle le mot de passe d'un utilisateur (non-administrateur système) expire. La valeur 0 signifie que les mots de passe n'expirent pas. La valeur par défaut de 2592 000 correspond à 30 jours à compter de la création du mot de passe. |
utilisateur: 2 592 000 sysadmin: 0 |
pwdMaxFailure |
Nombre de tentatives de connexion infructueuses consécutives au-delà desquelles un mot de passe ne peut pas être utilisé pour authentifier un utilisateur auprès de l'annuaire. |
3 |
pwdMinLength |
Spécifie le nombre minimal de caractères requis lors de la définition d'un mot de passe. |
8 |
Déverrouiller un compte utilisateur
Le compte d'un utilisateur peut être verrouillé en raison d'attributs définis dans la règle relative aux mots de passe. Un utilisateur doté du rôle Apigee d'administrateur système peut utiliser l'appel d'API suivant pour déverrouiller son compte. Remplacez userEmail, adminEmail et password par des valeurs réelles.
Pour déverrouiller un utilisateur:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password