מערכת Apigee משתמשת ב-OpenLDAP כדי לאמת משתמשים בסביבת הניהול של ממשק ה-API. הפונקציונליות של מדיניות הסיסמה של LDAP זמינה על ידי OpenLDAP.
בקטע הזה מוסבר איך להגדיר את מדיניות ברירת המחדל בנושא סיסמאות LDAP. צריך להשתמש במדיניות הזו של סיסמה כדי להגדיר אפשרויות שונות לאימות סיסמאות. למשל, מספר ניסיונות ההתחברות הכושלים הרצופים שאחריהם אי אפשר יותר להשתמש בסיסמה כדי לאמת משתמשים בספרייה.
בקטע הזה מוסבר גם איך להשתמש בכמה ממשקי API כדי לבטל את הנעילה של חשבונות משתמשים שננעלו בהתאם למאפיינים שהוגדרו במדיניות הסיסמאות המוגדרת כברירת מחדל.
מידע נוסף זמין במאמרים הבאים:
הגדרת מדיניות ברירת המחדל לסיסמה של LDAP
הקטע הזה מסביר איך להגדיר את מדיניות ברירת המחדל לסיסמאות של LDAP עבור:
הגדרת מדיניות ברירת המחדל לסיסמה של LDAP עבור משתמשי Edge וה-sysadmin המקורי
כדי להגדיר את מדיניות הסיסמה של LDAP שמוגדרת כברירת מחדל למשתמשי Edge ול-sysadmin המקורי:
- התחבר לשרת ה-LDAP שלך באמצעות לקוח LDAP, כמו Apache Studio או ldapmodify. כברירת מחדל, שרת OpenLDAP מאזין ביציאה 10389 בצומת OpenLDAP.
כדי להתחבר צריך לציין את ה-Bind DN או את המשתמש של
cn=manager,dc=apigee,dc=com
ואת סיסמת ה-OpenLDAP שהגדרתם בזמן ההתקנה של Edge. - משתמשים בלקוח כדי לעבור למאפיינים של מדיניות הסיסמאות של:
- משתמשי קצה:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- ה-sysadmin המקורי של Edge:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
הערה: כדי להגדיר את מדיניות הסיסמאות של LDAP למנהלי מערכת נוספים (מלבד ה-sysadmin המקורי), צריך לפעול בקטע הגדרת מדיניות הסיסמאות ל-LDAP עבור מנהלי מערכת נוספים שבהמשך.
- משתמשי קצה:
- עורכים את ערכי המאפיין של מדיניות הסיסמאות לפי הצורך.
- שומרים את התצורה.
הגדרת מדיניות הסיסמאות של LDAP עבור מנהלי מערכת נוספים
כשמוסיפים משתמשי sysadmin ל-Edge, הם יורשים את מדיניות ברירת המחדל לסיסמאות במקום את מדיניות הסיסמאות ל-Sysadmin של ה-sysadmin המקורי. התוקף של מדיניות ברירת המחדל לסיסמאות יפוג לאחר פרק זמן מסוים, אלא אם הוגדר אחרת. כדי להגדיר את מדיניות הסיסמאות הנוספות של משתמשי sysadmin כך שתוקף הסיסמה לא יפוג, צריך לבצע את השלבים הבאים:
- כדי למצוא את
dn
כל ה-sysאדמינים, מריצים את הפקודה הבאה:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base -LLL
הפלט מציג את משתמשי ה-sysadmin בתור
roleOccupant
:dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com objectClass: organizationalRole objectClass: top cn: sysadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
- יוצרים קובץ חדש בשם
ppchange.ldif
ומוסיפים לו את הטקסט הבא (מחליף את ה-DNS של משתמש ה-sysadmin שלכם):dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- משנים את המשתמש על ידי הזנת הפקודה הבאה:
ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
- מאמתים את השינוי באמצעות פקודת החיפוש
ldap
:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
הפלט יציג את ההוספה של
pwdPolicySubentry
:dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- חוזרים על שלבים 2 עד 4 לכל sysadmin.
מאפייני ברירת המחדל של מדיניות הסיסמאות של LDAP
מאפיין | התיאור | ברירת המחדל |
---|---|---|
pwdExpireWarning |
מספר השניות המקסימלי לפני שתוקף הסיסמה יפוג. הודעות אזהרה לגבי תפוגת התוקף יוחזרו למשתמש שמבצע אימות בספרייה. |
604800 (שווה ל-7 ימים) |
pwdFailureCountInterval |
מספר השניות שאחריהן ניסיונות קישור כושלים רצופים נמחקות לצמיתות ממונה הכישלונות. במילים אחרות, זהו מספר השניות שאחריהן מתבצע איפוס של מספר ניסיונות ההתחברות שנכשלו. אם המדיניות אם הערך של מומלץ להגדיר את המאפיין הזה עם אותו ערך של
המאפיין |
300 |
pwdInHistory |
המספר המקסימלי של סיסמאות בשימוש או בעבר של משתמש שיאוחסן במאפיין
לאחר שינוי הסיסמה, המשתמש ייחסם ולא יוכל לשנות אותה לאחת מהסיסמאות הקודמות שלה. |
3 |
pwdLockout |
אם המדיניות |
לא נכון |
pwdLockoutDuration |
מספר השניות שבהן לא ניתן להשתמש בסיסמה לאימות המשתמש בגלל יותר מדי ניסיונות התחברות כושלים רצופים. במילים אחרות, זהו משך הזמן שבמהלכו חשבון משתמש יישאר נעול
עקב מספר ניסיונות התחברות כושלים רצופים שהוגדרו על ידי
מאפיין אם המדיניות למידע נוסף, ראו ביטול נעילה של חשבון משתמש. אם הערך של מומלץ להגדיר את המאפיין הזה עם אותו ערך של
המאפיין |
300 |
pwdMaxAge |
מספר השניות שאחריהן תפוג הסיסמה של משתמש (שאינו sysadmin). אם הערך הוא 0, התוקף של הסיסמאות לא פג. ערך ברירת המחדל של 2592,000 תואם ל-30 ימים ממועד יצירת הסיסמה. |
משתמש: 2592000 sysadmin: 0 |
pwdMaxFailure |
מספר ניסיונות התחברות כושלים רצופים, שאחריהם לא ניתן להשתמש בסיסמה כדי לאמת משתמש בספרייה. |
3 |
pwdMinLength |
מציין את מספר התווים המינימלי שנדרש במהלך הגדרת סיסמה. |
8 |
ביטול הנעילה של חשבון משתמש
יכול להיות שחשבון של משתמש יינעל בגלל מאפיינים שמוגדרים במדיניות הסיסמאות. משתמש שהוקצה לו התפקיד sysadmin Apigee יכול להשתמש בקריאה הבאה ל-API כדי לבטל את נעילת החשבון של המשתמש. מחליפים את userEmail, adminEmail ו-password בערכים בפועל.
כדי לבטל את הנעילה של משתמש:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password