Sistem Apigee menggunakan OpenLDAP untuk mengautentikasi pengguna di lingkungan pengelolaan API Anda. OpenLDAP menyediakan fungsi kebijakan sandi LDAP ini.
Bagian ini menjelaskan cara mengonfigurasi kebijakan sandi LDAP default yang dikirim. Gunakan kebijakan sandi ini untuk mengonfigurasi berbagai opsi autentikasi sandi, seperti jumlah upaya login yang gagal secara berturut-turut, sehingga sandi tidak lagi dapat digunakan untuk mengautentikasi pengguna ke direktori.
Bagian ini juga menjelaskan cara menggunakan beberapa API untuk membuka kunci akun pengguna yang telah dikunci sesuai dengan atribut yang dikonfigurasi dalam kebijakan sandi default.
Untuk informasi tambahan, lihat:
Mengonfigurasi kebijakan sandi LDAP default
Bagian ini menjelaskan cara mengonfigurasi kebijakan sandi LDAP default untuk:
Mengonfigurasi kebijakan sandi LDAP default untuk pengguna Edge dan sysadmin asli
Untuk mengonfigurasi kebijakan sandi LDAP default bagi pengguna Edge dan sysadmin asli:
- Hubungkan ke server LDAP menggunakan klien LDAP, seperti Apache Studio atau ldapmodify. Secara
default, server OpenLDAP memproses port 10389 di node OpenLDAP.
Untuk menghubungkan, tentukan Bind DN atau pengguna
cn=manager,dc=apigee,dc=comdan sandi OpenLDAP yang Anda setel pada saat penginstalan Edge. - Gunakan klien untuk membuka atribut kebijakan sandi untuk:
- Pengguna edge:
cn=default,ou=pwpolicies,dc=apigee,dc=com - Sysadmin Edge asli:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
Catatan: Untuk mengonfigurasi kebijakan sandi LDAP bagi sysadmin tambahan (selain sysadmin asli), lihat Mengonfigurasi kebijakan sandi LDAP bagi sysadmin tambahan di bawah.
- Pengguna edge:
- Edit nilai atribut kebijakan sandi sesuai keinginan.
- Simpan konfigurasi.
Mengonfigurasi kebijakan sandi LDAP untuk sysadmin tambahan
Saat Anda menambahkan pengguna sysadmin ke Edge, mereka akan mewarisi kebijakan sandi default, bukan kebijakan sandi sysadmin dari sysadmin asli. Masa berlaku kebijakan sandi default berakhir setelah jangka waktu tertentu, kecuali jika dikonfigurasi untuk tidak melakukannya. Untuk menetapkan kebijakan sandi pengguna sysadmin tambahan agar tidak habis masa berlakunya, ikuti langkah-langkah berikut:
- Temukan
dnsemua sysadmin dengan menjalankan perintah ini:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base -LLL
Output menampilkan pengguna sysadmin sebagai
roleOccupant:dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com objectClass: organizationalRole objectClass: top cn: sysadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
- Buat file baru bernama
ppchange.ldifdan tambahkan kode berikut ke dalamnya (menggantikan dn pengguna sysadmin Anda sendiri):dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Ubah pengguna dengan memasukkan perintah berikut:
ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
- Verifikasi perubahan dengan perintah penelusuran
ldap:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
Output akan menampilkan penambahan
pwdPolicySubentry:dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Ulangi langkah 2 hingga 4 untuk setiap sysadmin.
Atribut Kebijakan Sandi LDAP Default
| Atribut | Deskripsi | Default |
|---|---|---|
pwdExpireWarning |
Jumlah detik maksimum sebelum sandi habis masa berlakunya, sehingga pesan peringatan masa berlaku akan ditampilkan kepada pengguna yang melakukan autentikasi ke direktori. |
604800 (Setara dengan 7 hari) |
pwdFailureCountInterval |
Jumlah detik setelah upaya binding lama yang gagal secara berturut-turut dihapus dari penghitung kegagalan. Dengan kata lain, ini adalah jumlah detik setelah jumlah upaya login yang gagal secara berturut-turut direset. Jika Jika Sebaiknya atribut ini ditetapkan ke nilai yang sama dengan
atribut |
300 |
pwdInHistory |
Jumlah maksimum sandi yang digunakan, atau sebelumnya, untuk pengguna yang akan disimpan dalam
atribut Saat mengubah sandi, pengguna akan diblokir agar tidak dapat mengubahnya ke sandi sebelumnya. |
3 |
pwdLockout |
Jika |
Salah |
pwdLockoutDuration |
Jumlah detik saat sandi tidak dapat digunakan untuk mengautentikasi pengguna karena terlalu banyak upaya login yang gagal secara berturut-turut. Dengan kata lain, ini adalah durasi waktu akun pengguna akan tetap terkunci karena melebihi jumlah upaya login gagal berturut-turut yang ditetapkan oleh atribut Jika Lihat Membuka kunci akun pengguna. Jika Sebaiknya atribut ini ditetapkan ke nilai yang sama dengan
atribut |
300 |
pwdMaxAge |
Jumlah detik setelah masa berlaku sandi pengguna (non-sysadmin). Nilai 0 berarti masa berlaku sandi tidak habis. Nilai default 2592000 sesuai dengan 30 hari sejak sandi dibuat. |
user: 2592000 sysadmin: 0 |
pwdMaxFailure |
Jumlah upaya login yang gagal secara berturut-turut, setelah itu sandi tidak boleh digunakan untuk mengautentikasi pengguna ke direktori. |
3 |
pwdMinLength |
Menentukan jumlah karakter minimum yang diperlukan saat menetapkan sandi. |
8 |
Membuka Kunci Akun Pengguna
Akun pengguna mungkin dikunci karena atribut yang ditetapkan dalam kebijakan sandi. Pengguna dengan peran sysadmin Apigee yang ditetapkan dapat menggunakan panggilan API berikut untuk membuka kunci akun pengguna. Ganti userEmail, adminEmail, dan password dengan nilai sebenarnya.
Untuk membuka kunci pengguna:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password