Ta strona została przetłumaczona przez Cloud Translation API.

Zarządzanie domyślną zasadą dotyczącą haseł na potrzeby zarządzania interfejsami API

System Apigee używa OpenLDAP do uwierzytelniania użytkowników w środowisku zarządzania interfejsami API. OpenLDAP udostępnia tę funkcję zasad dotyczących haseł LDAP.

W tej sekcji opisaliśmy, jak skonfigurować dostarczone domyślne zasady haseł LDAP. Ta zasada dotycząca haseł umożliwia skonfigurowanie różnych opcji uwierzytelniania haseł, na przykład liczby kolejnych nieudanych prób logowania, po których nie można już użyć hasła do uwierzytelnienia użytkownika w katalogu.

W tej sekcji opisaliśmy też, jak za pomocą kilku interfejsów API odblokować konta użytkowników, które zostały zablokowane zgodnie z atrybutami skonfigurowanymi w domyślnej zasadie dotyczącej haseł.

Więcej informacji znajdziesz w tych artykułach:

Konfigurowanie domyślnej zasady dotyczącej hasła LDAP

W tej sekcji opisano, jak skonfigurować domyślną zasadę hasła LDAP w przypadku:

Użytkownicy Edge i pierwotny administrator sysadmin
Dodatkowi administratorzy systemu

Konfigurowanie domyślnej zasady dotyczącej haseł LDAP dla użytkowników Edge i pierwotnego administratora

Aby skonfigurować domyślną zasadę hasła LDAP dla użytkowników Edge i pierwotnego administratora systemu:

Połącz się z serwerem LDAP za pomocą klienta LDAP, takiego jak Apache Studio lub ldapmodify. Domyślnie serwer OpenLDAP nasłuchuje na porcie 10389 na węźle OpenLDAP.
Aby się połączyć, określ nazwę wyróżniającą Bind lub użytkownika cn=manager,dc=apigee,dc=com oraz hasło OpenLDAP ustawione podczas instalacji Edge.
Użyj klienta, aby przejść do atrybutów zasad dotyczących haseł w przypadku:
- Użytkownicy Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Pierwotny administrator Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  Uwaga: aby skonfigurować zasady haseł LDAP dla dodatkowych administratorów (innych niż pierwotny administrator), wykonaj czynności opisane w sekcji Konfigurowanie zasad haseł LDAP dla dodatkowych administratorów.
Edytuj wartości atrybutów zasad dotyczących haseł zgodnie z potrzebami.
Zapisz konfigurację.

Konfigurowanie zasad haseł LDAP dla dodatkowych administratorów sysadmin

Gdy dodasz użytkowników sysadmin do Edge, odziedziczą oni domyślną zasadę dotyczącą haseł, a nie zasadę dotyczącą haseł sysadmina pierwotnego sysadmina. Domyślna zasada dotycząca haseł wygasa po określonym czasie, chyba że skonfigurowano inaczej. Aby ustawić zasadę dotyczącą haseł dodatkowych użytkowników z uprawnieniami administratora systemu, która nie będzie wygasać, wykonaj te czynności:

Znajdź wszystkich administratorów systemu dn, wykonując to polecenie:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

Dane wyjściowe zawierają użytkowników sysadmin jako roleOccupant:

dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com

Utwórz nowy plik o nazwie ppchange.ldif i dodaj do niego ten plik (zastępując nazwę DNS własnego użytkownika sysadmin):

dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Zmień użytkownika, wpisując to polecenie:

ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif

Sprawdź zmianę za pomocą polecenia wyszukiwania ldap:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

Dane wyjściowe będą zawierać dodatkowy element pwdPolicySubentry:

dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Powtórz kroki 2–4 w przypadku każdego administratora.

Domyślne atrybuty zasad dotyczących haseł LDAP

Atrybut	Opis	Domyślny
pwdExpireWarning	Maksymalna liczba sekund przed wygaśnięciem hasła, po której użytkownikowi, który się uwierzytelnia w katalogu, zostaną zwrócone ostrzeżenia.	604800 (odpowiednik 7 dni)
pwdFailureCountInterval	Liczba sekund, po której stare nieudane próby połączenia są usuwane z licznika błędów. Innymi słowy, jest to liczba sekund, po których zeruje się liczba kolejnych nieudanych prób logowania. Jeśli wartość `pwdFailureCountInterval` to 0, zliczanie można zresetować tylko po pomyślnym uwierzytelnieniu. Jeśli wartość atrybutu `pwdFailureCountInterval` wynosi >0, atrybut ten określa czas, po którym liczba kolejnych nieudanych prób logowania jest automatycznie resetowana, nawet jeśli nie nastąpiło żadne uwierzytelnienie. Zalecamy, aby ten atrybut miał taką samą wartość jak atrybut `pwdLockoutDuration`.	300
pwdInHistory	Maksymalna liczba używanych lub wcześniejszych haseł użytkownika, która zostanie zapisana w atrybucie `pwdHistory`. Podczas zmiany hasła użytkownik nie będzie mógł zmienić go na żadne z poprzednich haseł.	3
pwdLockout	Jeśli `TRUE`, określa, że użytkownik ma zostać zablokowany, gdy wygaśnie jego hasło, aby nie mógł się zalogować.	Fałsz
pwdLockoutDuration	Liczba sekund, przez które nie można było uwierzytelnić użytkownika przy użyciu hasła z powodu zbyt wielu kolejnych nieudanych prób logowania. Innymi słowy, jest to czas, przez który konto użytkownika będzie zablokowane z powodu przekroczenia liczby kolejnych nieudanych prób logowania ustawionej przez atrybut `pwdMaxFailure`. Jeśli wartość `pwdLockoutDuration` jest równa 0, konto użytkownika pozostanie zablokowane, dopóki administrator systemu go nie odblokuje. Zobacz Odblokowanie konta użytkownika. Jeśli wartość atrybutu `pwdLockoutDuration` jest większa niż 0, atrybut określa czas, przez jaki konto użytkownika będzie zablokowane. Po upływie tego czasu konto użytkownika zostanie automatycznie odblokowane. Zalecamy, aby ten atrybut miał taką samą wartość jak atrybut `pwdFailureCountInterval`.	300
pwdMaxAge	Liczba sekund, po której hasło użytkownika (nie administratora) wygasa. Wartość 0 oznacza, że hasła nie wygasają. Wartość domyślna 2592000 odpowiada 30 dniom od utworzenia hasła.	użytkownik: 2592000 sysadmin: 0
pwdMaxFailure	Liczba kolejnych nieudanych prób logowania, po których nie można użyć hasła do uwierzytelnienia użytkownika w katalogu.	3
pwdMinLength	Określa minimalną liczbę znaków wymaganą podczas ustawiania hasła.	8

Odblokowywanie konta użytkownika

Konto użytkownika może zostać zablokowane z powodu atrybutów ustawionych w zasadach dotyczących haseł. Użytkownik z przypisaną rolą sysadmin w Apigee może użyć tego wywołania interfejsu API, aby odblokować swoje konto. Zastąp wartości userEmail, adminEmail i password rzeczywistymi wartościami.

Aby odblokować użytkownika:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password

Uwaga: aby tylko administratorzy systemu mogli wywoływać ten interfejs API, ścieżka /users/*/status jest uwzględniona w właściwości conf_security_rbac.restricted.resources serwera zarządzania:

cd /opt/apigee/edge-management-server

grep -ri "conf_security_rbac.restricted.resources" *

Dane wyjściowe zawierają:

token/default.properties:conf_security_rbac.restricted.resources=/environments,/environments/*,/environments/*/virtualhosts,/environments/*/virtualhosts/*,/pods,/environments/*/servers,/rebuildindex,/users/*/status