System Apigee używa OpenLDAP do uwierzytelniania użytkowników w środowisku zarządzania interfejsami API. OpenLDAP udostępnia tę funkcję zasad dotyczących haseł LDAP.
Ta sekcja zawiera informacje na temat konfigurowania przekazanych domyślnych zasad dotyczących haseł LDAP. Ta zasada dotycząca haseł służy do konfigurowania różnych opcji uwierzytelniania przy użyciu hasła, takich jak liczba kolejnych nieudanych prób logowania, po których nie można już użyć hasła do uwierzytelnienia użytkownika w katalogu.
W tej sekcji opisujemy też, jak przy użyciu kilku interfejsów API odblokowywać konta użytkowników, które zostały zablokowane zgodnie z atrybutami skonfigurowanymi w domyślnych zasadach dotyczących haseł.
Dodatkowe informacje:
Konfigurowanie domyślnej zasady dotyczącej haseł LDAP
W tej sekcji wyjaśniono, jak skonfigurować domyślne zasady dotyczące haseł LDAP dla:
Konfigurowanie domyślnej zasady dotyczącej haseł LDAP dla użytkowników Edge i pierwotnego administratora sysadmin
Aby skonfigurować domyślne zasady dotyczące haseł LDAP dla użytkowników Edge i pierwotnego administratora sysadmin:
- Połącz się z serwerem LDAP przy użyciu klienta LDAP, takiego jak Apache Studio lub ldapmodify. Domyślnie serwer OpenLDAP nasłuchuje na porcie 10389 w węźle OpenLDAP.
Aby nawiązać połączenie, podaj nazwę wyróżniającą powiązania lub użytkownika
cn=manager,dc=apigee,dc=com
oraz hasło OpenLDAP ustawione podczas instalacji Edge. - Za pomocą klienta przejdź do atrybutów zasad dotyczących haseł dla:
- Użytkownicy Edge:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- Oryginalny serwer sysadmin Edge:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
Uwaga: aby skonfigurować zasadę dotyczącą haseł LDAP dla dodatkowych administratorów sysadmin (innych niż pierwotny plik sysadmin), przeczytaj sekcję Konfigurowanie zasad dotyczących haseł LDAP dla dodatkowych administratorów sysadmin poniżej.
- Użytkownicy Edge:
- Zmień wartości atrybutów zasad dotyczących haseł według potrzeb.
- Zapisz konfigurację.
Konfigurowanie zasad dotyczących haseł LDAP dla dodatkowych administratorów sysadmin
Gdy dodasz użytkowników sysadmin do Edge, odziedziczą oni domyślną zasadę dotyczącą haseł, a nie zasadę dotyczącą haseł sysadmin z pierwotnego serwera sysadmin. Domyślna zasada dotycząca haseł wygasa po upływie określonego czasu, chyba że została skonfigurowana inaczej. Aby ustawić zasady dotyczące haseł dodatkowych użytkowników sysadmin, tak aby nie wygasały, wykonaj te czynności:
- Znajdź wszystkich administratorów sysadmin (
dn
), uruchamiając to polecenie:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base -LLL
Dane wyjściowe pokazują użytkowników sysadmin jako
roleOccupant
:dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com objectClass: organizationalRole objectClass: top cn: sysadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
- Utwórz nowy plik o nazwie
ppchange.ldif
i dodaj do niego następujące dane (zastępując nazwę dn swojego użytkownika sysadmin):dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Zmień użytkownika, wpisując to polecenie:
ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
- Sprawdź zmianę za pomocą polecenia wyszukiwania
ldap
:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
Dane wyjściowe pokażą dodanie parametru
pwdPolicySubentry
:dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Powtórz kroki od 2 do 4 dla każdego administratora sysadmin.
Domyślne atrybuty zasad dotyczących haseł LDAP
Atrybut | Opis | Domyślne |
---|---|---|
pwdExpireWarning |
Maksymalna liczba sekund przed wygaśnięciem hasła, po upływie których wygasają wiadomości ostrzegawcze, które będą zwracane do użytkownika uwierzytelniającego się w katalogu. |
604800 (Odpowiednik 7 dni). |
pwdFailureCountInterval |
Liczba sekund, po których stare, kolejne nieudane próby powiązania są trwale usuwane z licznika błędów. Inaczej mówiąc, jest to liczba sekund, po których liczba kolejnych nieudanych prób logowania jest resetowana. Jeśli Jeśli Zalecamy ustawienie dla tego atrybutu tej samej wartości co atrybut |
300 |
pwdInHistory |
Maksymalna liczba używanych lub wcześniejszych haseł użytkownika, które będą przechowywane w atrybucie Gdy zmienisz hasło, użytkownik nie będzie mógł zmienić go na żadne ze swoich wcześniejszych haseł. |
3 |
pwdLockout |
Jeśli |
Fałsz |
pwdLockoutDuration |
Liczba sekund, w których nie można uwierzytelnić użytkownika przy użyciu hasła z powodu zbyt wielu kolejnych nieudanych prób logowania. Oznacza to, że jest to czas, przez jaki konto użytkownika będzie zablokowane z powodu przekroczenia liczby kolejnych nieudanych prób logowania określonej w atrybucie Jeśli Zobacz Odblokowywanie konta użytkownika. Jeśli Zalecamy ustawienie dla tego atrybutu tej samej wartości co atrybut |
300 |
pwdMaxAge |
Liczba sekund, po których hasło użytkownika (innego niż sysadmin) wygasa. Wartość 0 oznacza, że hasła nie wygasają. Domyślna wartość 2592000 odpowiada 30 dniom od utworzenia hasła. |
Użytkownik: 2592000 sysadmin: 0 |
pwdMaxFailure |
Liczba kolejnych nieudanych prób logowania, po których nie można użyć hasła do uwierzytelnienia użytkownika w katalogu. |
3 |
pwdMinLength |
Określa minimalną liczbę znaków wymaganą podczas ustawiania hasła. |
8 |
Odblokowywanie konta użytkownika
Konto użytkownika może zostać zablokowane z powodu atrybutów ustawionych w zasadach dotyczących haseł. Użytkownik z przypisaną rolą sysadmin Apigee może odblokować konto użytkownika za pomocą poniższego wywołania interfejsu API. Zastąp userEmail, adminEmail i password rzeczywistymi wartościami.
Aby odblokować użytkownika:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password