Управление политикой паролей LDAP по умолчанию для управления API

Система Apigee использует OpenLDAP для аутентификации пользователей в вашей среде управления API. OpenLDAP делает доступной эту функциональность политики паролей LDAP.

В этом разделе описывается, как настроить политику паролей LDAP по умолчанию. Используйте эту политику паролей для настройки различных параметров аутентификации по паролю, таких как количество последовательных неудачных попыток входа в систему, после которых пароль больше не может использоваться для аутентификации пользователя в каталоге.

В этом разделе также описывается, как использовать несколько API-интерфейсов для разблокировки учетных записей пользователей, которые были заблокированы в соответствии с атрибутами, настроенными в политике паролей по умолчанию.

Дополнительную информацию см.:

Настройка политики паролей LDAP по умолчанию

В этом разделе объясняется, как настроить политику паролей LDAP по умолчанию для:

Настройка политики паролей LDAP по умолчанию для пользователей Edge и исходного системного администратора

Чтобы настроить политику паролей LDAP по умолчанию для пользователей Edge и исходного системного администратора:

  1. Подключитесь к серверу LDAP с помощью клиента LDAP, например Apache Studio или ldapmodify. По умолчанию сервер OpenLDAP прослушивает порт 10389 на узле OpenLDAP.

    Для подключения укажите DN привязки или пользователя cn=manager,dc=apigee,dc=com и пароль OpenLDAP, который вы установили во время установки Edge.

  2. Используйте клиент для перехода к атрибутам политики паролей для:
  3. Измените значения атрибутов политики паролей по своему усмотрению.
  4. Сохраните конфигурацию.

Настройка политики паролей LDAP для дополнительных системных администраторов

Когда вы добавляете пользователей системного администратора в Edge, они наследуют политику паролей по умолчанию, а не политику паролей системного администратора исходного системного администратора. Срок действия политики паролей по умолчанию истекает через определенное время, если не настроено иное. Чтобы настроить политику паролей дополнительных пользователей системного администратора, чтобы срок ее действия не истекал, выполните следующие действия:

  1. Найдите dn всех системных администраторов, выполнив следующую команду: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

    В выводе пользователи системного администратора показаны как roleOccupant :

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. Создайте новый файл с именем ppchange.ldif и добавьте в него следующее (заменив dn вашего собственного пользователя системного администратора): 
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. Измените пользователя, введя следующую команду: 
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. Проверьте изменение с помощью команды поиска ldap : 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

    В выводе будет показано добавление pwdPolicySubentry : 

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  5. Повторите шаги со 2 по 4 для каждого системного администратора.

Атрибуты политики паролей LDAP по умолчанию

Атрибут Описание По умолчанию
pwdExpireWarning
 Максимальное количество секунд до истечения срока действия пароля, после которого пользователю, прошедшему аутентификацию в каталоге, будут возвращены предупреждения об истечении срока действия.

604800

(эквивалент 7 дней)

pwdFailureCountInterval

Количество секунд, по истечении которых старые последовательные неудачные попытки привязки удаляются из счетчика неудач.

Другими словами, это количество секунд, по истечении которых счетчик последовательных неудачных попыток входа в систему сбрасывается.

Если pwdFailureCountInterval установлено значение 0, только успешная проверка подлинности может сбросить счетчик.

Если для pwdFailureCountInterval установлено значение >0, атрибут определяет длительность, по истечении которой счетчик последовательных неудачных попыток входа в систему автоматически сбрасывается, даже если успешной аутентификации не произошло.

Мы предлагаем установить для этого атрибута то же значение, что и для атрибута pwdLockoutDuration .

 300
pwdInHistory

Максимальное количество использованных или прошлых паролей пользователя, которое будет храниться в атрибуте pwdHistory .

При смене пароля пользователю будет запрещено менять его на любой из своих прошлых паролей.

 3
pwdLockout

Если TRUE , указывает на блокировку пользователя по истечении срока действия его пароля, чтобы пользователь больше не мог войти в систему.

 ЛОЖЬ
pwdLockoutDuration

Количество секунд, в течение которых пароль не может быть использован для аутентификации пользователя из-за слишком большого количества последовательных неудачных попыток входа в систему.

Другими словами, это период времени, в течение которого учетная запись пользователя будет оставаться заблокированной из-за превышения количества последовательных неудачных попыток входа в систему, установленных атрибутом pwdMaxFailure .

Если для pwdLockoutDuration установлено значение 0, учетная запись пользователя будет оставаться заблокированной до тех пор, пока системный администратор не разблокирует ее.

См. раздел Разблокировка учетной записи пользователя .

Если для pwdLockoutDuration установлено значение >0, атрибут определяет продолжительность, в течение которой учетная запись пользователя будет оставаться заблокированной. По истечении этого периода времени учетная запись пользователя будет автоматически разблокирована.

Мы предлагаем установить для этого атрибута то же значение, что и для атрибута pwdFailureCountInterval .

 300
pwdMaxAge

Количество секунд, по истечении которых истекает срок действия пароля пользователя (не системного администратора). Значение 0 означает, что срок действия паролей не ограничен. Значение по умолчанию 2592000 соответствует 30 дням с момента создания пароля.

пользователь: 2592000

сисадмин: 0

pwdMaxFailure

Количество последовательных неудачных попыток входа в систему, после которых пароль не может быть использован для аутентификации пользователя в каталоге.

 3
pwdMinLength

Указывает минимальное количество символов, необходимое при установке пароля.

 8

Разблокировка учетной записи пользователя

Учетная запись пользователя может быть заблокирована из-за атрибутов, установленных в политике паролей. Пользователь с назначенной ролью системного администратора Apigee может использовать следующий вызов API, чтобы разблокировать учетную запись пользователя. Замените userEmail , adminEmail и password фактическими значениями.

Чтобы разблокировать пользователя:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password