Ta strona została przetłumaczona przez Cloud Translation API.

Zarządzanie domyślną zasadą dotyczącą haseł na potrzeby zarządzania interfejsami API

System Apigee używa protokołu OpenLDAP do uwierzytelniania użytkowników w środowisku zarządzania interfejsami API. OpenLDAP udostępnia tę funkcję zasad dotyczących haseł LDAP.

W tej sekcji opisaliśmy, jak skonfigurować dostarczone domyślne zasady haseł LDAP. Użyj tej zasad dotyczących haseł do konfigurowania różnych opcji uwierzytelniania haseł, takich jak liczba kolejnych nieudanych prób logowania, po których użytkownik nie może uwierzytelnić swojego konta przy użyciu hasła. do katalogu.

W tej sekcji opisujemy też, jak przy użyciu interfejsów API odblokowywać konta użytkowników, które zostały jest zablokowana zgodnie z atrybutami skonfigurowanymi w domyślnych zasadach dotyczących haseł.

Dodatkowe informacje:

Konfigurowanie domyślnego hasła LDAP polityka

W tej sekcji opisaliśmy, jak skonfigurować domyślne zasady haseł LDAP dla:

Użytkownicy Edge i pierwotny administrator sysadmin
Dodatkowi administratorzy sysadmin

Konfigurowanie domyślnych zasad dotyczących haseł LDAP dla użytkowników Edge i oryginalnego administratora sysadmin

Aby skonfigurować domyślne zasady dotyczące haseł LDAP dla użytkowników Edge i pierwotnego administratora sysadmin:

Połącz się z serwerem LDAP przy użyciu klienta LDAP, takiego jak Apache Studio lub ldapmodify. Według domyślny serwer OpenLDAP nasłuchuje na porcie 10389 w węźle OpenLDAP.
Aby nawiązać połączenie, podaj nazwę wyróżniającą (DN) lub użytkownika domeny cn=manager,dc=apigee,dc=com oraz Hasło OpenLDAP ustawione podczas instalacji Edge.
Za pomocą klienta przejdź do atrybutów zasad dotyczących haseł dla:
- Użytkownicy Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Oryginalny administrator Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  Uwaga: aby skonfigurować hasło LDAP dla dodatkowych administratorów sysadmin (innych niż pierwotny sysadmin), Konfigurowanie Zasady dotyczące haseł LDAP dla dodatkowych administratorów Sysadmins wymienionych poniżej.
Edytuj wartości atrybutów zasad dotyczących haseł zgodnie z potrzebami.
Zapisz konfigurację.

Konfigurowanie zasad haseł LDAP dla dodatkowych administratorów sysadmin

Gdy dodasz użytkowników sysadmin do Edge, dziedziczą one domyślne zasady dotyczące haseł, a nie zasady dotyczące haseł sysadmin z pierwotnego polecenia sysadmin. Domyślna zasada dotycząca haseł wygasa po przez określony czas, chyba że skonfigurowano inaczej. Aby skonfigurować dodatkowych użytkowników sysadmin zasad dotyczących haseł, aby nie wygasały, wykonaj następujące czynności:

Znajdź dn all sysadmins, uruchamiając to polecenie:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

Dane wyjściowe wskazują użytkowników sysadmin jako roleOccupant:

dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com

Utwórz nowy plik o nazwie ppchange.ldif i dodaj do niego następujący fragment (zastępując nazwę DNS własnego użytkownika sysadmin):

dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Zmodyfikuj użytkownika, wpisując to polecenie:

ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif

Sprawdź zmianę za pomocą polecenia wyszukiwania ldap:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

W danych wyjściowych pojawi się dodanie elementu pwdPolicySubentry:

dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Powtórz kroki 2–4 w przypadku każdego administratora sysadmin.

Domyślne atrybuty zasad LDAP dotyczących haseł

Atrybut	Opis	Domyślny
pwdExpireWarning	Maksymalny czas wygaśnięcia hasła w sekundach użytkownikom, którzy uwierzytelniają się w katalogu, zwracane są komunikaty ostrzegawcze.	604800 (Odpowiednik 7 dni)
pwdFailureCountInterval	Liczba sekund, po których stare kolejne nieudane próby powiązania są trwale usuwane z licznika błędów. Innymi słowy, jest to liczba sekund, po których następuje liczba kolejnych nieudane próby logowania są resetowane. Jeśli `pwdFailureCountInterval` ma wartość 0, licznik będzie można zresetować tylko pomyślnie po pomyślnym uwierzytelnieniu. Jeśli `pwdFailureCountInterval` ma wartość >0, atrybut określa czas, po którym liczba kolejnych nieudanych prób logowania jest automatycznie resetowany, nawet jeśli nie doszło do żadnego udanego uwierzytelnienia. Zalecamy ustawienie tego atrybutu na taką samą wartość jak atrybut `pwdLockoutDuration`.	300
pwdInHistory	Maksymalna liczba używanych lub wcześniejszych haseł użytkownika, które będą przechowywane w `pwdHistory`. Gdy użytkownik zmieni swoje hasło, nie będzie mógł go zmienić na dowolne swoje wcześniejszych haseł.	3
pwdLockout	Jeśli `TRUE`, określa Blokuj użytkownika po wygaśnięciu jego hasła, aby nie mógł się zalogować.	Fałsz
pwdLockoutDuration	Liczba sekund, przez które nie można było użyć hasła do uwierzytelnienia użytkownika. zbyt wiele kolejnych nieudanych prób logowania. Innymi słowy, jest to okres, w którym konto użytkownika pozostanie aktywne. zablokowane z powodu przekroczenia liczby kolejnych nieudanych prób logowania określonej przez `pwdMaxFailure`. Jeśli zasada `pwdLockoutDuration` ma wartość 0, konto użytkownika pozostanie zablokowane dopóki administrator systemu go nie odblokuje. Zobacz Odblokowywanie konta użytkownika. Jeśli `pwdLockoutDuration` ma wartość >0, atrybut określa czas, przez jaki konto użytkownika zablokowany. Po upływie tego czasu konto użytkownika zostanie automatycznie Bez blokady. Zalecamy ustawienie tego atrybutu na taką samą wartość jak atrybut `pwdFailureCountInterval`.	300
pwdMaxAge	Liczba sekund, po których wygasa hasło użytkownika (innego niż sysadmin). Wartość 0 co oznacza, że hasła nie wygasają. Wartość domyślna (2592 000) odpowiada 30 dniom od podczas tworzenia hasła.	użytkownik: 2592000 sysadmin: 0
pwdMaxFailure	Liczba kolejnych nieudanych prób logowania, po których nie można było użyć hasła, aby uwierzytelniać użytkownika w katalogu.	3
pwdMinLength	Określa minimalną liczbę znaków wymaganą przy ustawianiu hasła.	8

Odblokowywanie konta użytkownika

Konto użytkownika może zostać zablokowane z powodu atrybutów ustawionych w zasadach dotyczących haseł. Użytkownik z Przypisana rola Apigee sysadmin może używać tego wywołania interfejsu API, aby odblokować koncie. Zastąp userEmail, adminEmail i password rzeczywistymi wartościami .

Aby odblokować użytkownika:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password

. Uwaga: aby mieć pewność, że tylko administratorzy systemu mogą wywoływać ten interfejs API, klucz Ścieżka /users/*/status jest uwzględniona w Właściwość conf_security_rbac.restricted.resources dla serwera zarządzania:

cd /opt/apigee/edge-management-server

grep -ri "conf_security_rbac.restricted.resources" *

Dane wyjściowe zawierają:

token/default.properties:conf_security_rbac.restricted.resources=/environments,/environments/*,/environments/*/virtualhosts,/environments/*/virtualhosts/*,/pods,/environments/*/servers,/rebuildindex,/users/*/status