การจัดการนโยบายรหัสผ่าน LDAP เริ่มต้นสําหรับการจัดการ API

ระบบ Apigee ใช้ OpenLDAP เพื่อตรวจสอบสิทธิ์ผู้ใช้ในสภาพแวดล้อมการจัดการ API OpenLDAP ทำให้ฟังก์ชันการทำงานของนโยบายรหัสผ่าน LDAP นี้พร้อมใช้งาน

ส่วนนี้จะอธิบายวิธีกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้นที่ส่งให้ ใช้นโยบายรหัสผ่านนี้เพื่อกำหนดค่าตัวเลือกการตรวจสอบสิทธิ์ด้วยรหัสผ่านต่างๆ เช่น จำนวนครั้งที่พยายามเข้าสู่ระบบไม่สำเร็จติดต่อกัน ซึ่งหลังจากนั้นระบบจะไม่ใช้รหัสผ่านเพื่อตรวจสอบสิทธิ์ผู้ใช้ในไดเรกทอรีได้อีก

ส่วนนี้ยังอธิบายวิธีใช้ API 2 รายการเพื่อปลดล็อกบัญชีผู้ใช้ที่ถูกล็อกตามแอตทริบิวต์ที่กำหนดค่าไว้ในนโยบายรหัสผ่านเริ่มต้นด้วย

ดูข้อมูลเพิ่มเติมได้ที่

การกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้น

ส่วนนี้จะอธิบายวิธีกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้นสำหรับรายการต่อไปนี้

การกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้นสำหรับผู้ใช้ Edge และผู้ดูแลระบบเดิม

วิธีกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้นสำหรับผู้ใช้ Edge และผู้ดูแลระบบเดิม

  1. เชื่อมต่อกับเซิร์ฟเวอร์ LDAP โดยใช้ไคลเอ็นต์ LDAP เช่น Apache Studio หรือ ldapmodify โดยค่าเริ่มต้น เซิร์ฟเวอร์ OpenLDAP จะฟังพอร์ต 10389 ในโหนด OpenLDAP

    หากต้องการเชื่อมต่อ ให้ระบุ Bind DN หรือผู้ใช้ของ cn=manager,dc=apigee,dc=com และรหัสผ่าน OpenLDAP ที่ตั้งค่าไว้ตอนติดตั้ง Edge

  2. ใช้ไคลเอ็นต์เพื่อไปยังแอตทริบิวต์นโยบายรหัสผ่านสำหรับรายการต่อไปนี้
  3. แก้ไขค่าแอตทริบิวต์นโยบายรหัสผ่านได้ตามต้องการ
  4. บันทึกการกําหนดค่า

การกำหนดค่านโยบายรหัสผ่าน LDAP สำหรับผู้ดูแลระบบเพิ่มเติม

เมื่อคุณเพิ่มผู้ใช้ที่ดูแลระบบไปยัง Edge ผู้ใช้เหล่านั้นจะได้รับนโยบายรหัสผ่านเริ่มต้น ไม่ใช่นโยบายรหัสผ่านของผู้ดูแลระบบเดิม นโยบายรหัสผ่านเริ่มต้นจะหมดอายุหลังจากผ่านไประยะเวลาหนึ่ง เว้นแต่จะมีการกำหนดค่าเป็นอย่างอื่น หากต้องการตั้งค่านโยบายรหัสผ่านของผู้ใช้ผู้ดูแลระบบเพิ่มเติมเพื่อไม่ให้รหัสผ่านหมดอายุ ให้ทำตามขั้นตอนต่อไปนี้

  1. ค้นหา dn ผู้ดูแลระบบทั้งหมดโดยเรียกใช้คำสั่งนี้: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

    เอาต์พุตจะแสดงผู้ใช้ที่เป็นผู้ดูแลระบบเป็น roleOccupant:

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. สร้างไฟล์ใหม่ชื่อ ppchange.ldif แล้วเพิ่มข้อมูลต่อไปนี้ลงในไฟล์ (แทนที่ dn ของผู้ใช้ sysadmin ของคุณเอง) 
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. แก้ไขผู้ใช้โดยป้อนคําสั่งต่อไปนี้ 
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. ยืนยันการเปลี่ยนแปลงด้วยคำสั่งค้นหา ldap ดังนี้ 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

    เอาต์พุตจะแสดงการเพิ่ม pwdPolicySubentry ดังนี้ 

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

  5. ทำซ้ำขั้นตอนที่ 2-4 สำหรับผู้ดูแลระบบแต่ละราย

แอตทริบิวต์นโยบายรหัสผ่าน LDAP เริ่มต้น

แอตทริบิวต์ คำอธิบาย ค่าเริ่มต้น 
pwdExpireWarning
 จำนวนวินาทีสูงสุดก่อนที่รหัสผ่านจะหมดอายุ ซึ่งข้อความเตือนการหมดอายุจะส่งกลับไปยังผู้ใช้ที่ตรวจสอบสิทธิ์ไดเรกทอรีอยู่

604800

(เทียบเท่ากับ 7 วัน)

 
pwdFailureCountInterval

จำนวนวินาทีหลังจากนั้นระบบจะล้างการพยายามเชื่อมโยงที่ไม่สำเร็จติดต่อกันเก่าๆ ออกจากตัวนับการล้มเหลว

กล่าวคือ นี่คือจำนวนวินาทีหลังจากนั้นระบบจะรีเซ็ตจำนวนครั้งที่เข้าสู่ระบบไม่สำเร็จติดต่อกัน

หากตั้งค่า pwdFailureCountInterval เป็น 0 จะมีเพียงการตรวจสอบสิทธิ์ที่สำเร็จเท่านั้นที่จะรีเซ็ตตัวนับได้

หากตั้งค่า pwdFailureCountInterval เป็น >0 แอตทริบิวต์จะกำหนดระยะเวลาหลังจากนั้นระบบจะรีเซ็ตจำนวนครั้งที่เข้าสู่ระบบไม่สำเร็จติดต่อกันโดยอัตโนมัติ แม้ว่าจะยังไม่มีการตรวจสอบสิทธิ์ที่สำเร็จก็ตาม

เราขอแนะนำให้กำหนดค่าแอตทริบิวต์นี้เป็นค่าเดียวกันกับแอตทริบิวต์ pwdLockoutDuration

 300 
pwdInHistory

จำนวนรหัสผ่านที่ใช้แล้วหรือที่ผ่านมาสูงสุดสำหรับผู้ใช้ที่จะจัดเก็บในแอตทริบิวต์ pwdHistory

เมื่อเปลี่ยนรหัสผ่าน ผู้ใช้จะถูกบล็อกไม่ให้เปลี่ยนรหัสผ่านเป็นรหัสผ่านที่เคยใช้

 3 
pwdLockout

หากเป็น TRUE ให้ระบุเพื่อล็อกผู้ใช้ออกเมื่อรหัสผ่านหมดอายุเพื่อให้ผู้ใช้เข้าสู่ระบบไม่ได้อีกต่อไป

 เท็จ 
pwdLockoutDuration

จำนวนวินาทีที่ไม่สามารถใช้รหัสผ่านเพื่อตรวจสอบสิทธิ์ผู้ใช้ได้เนื่องจากมีการพยายามเข้าสู่ระบบที่ไม่สำเร็จติดต่อกันหลายครั้งเกินไป

กล่าวคือ นี่คือระยะเวลาที่ระบบจะล็อกบัญชีผู้ใช้ไว้เนื่องจากมีความพยายามเข้าสู่ระบบที่ไม่สำเร็จติดต่อกันเกินจำนวนครั้งที่กำหนดโดยแอตทริบิวต์ pwdMaxFailure

หากตั้งค่า pwdLockoutDuration เป็น 0 บัญชีผู้ใช้จะยังคงล็อกไว้จนกว่าผู้ดูแลระบบจะปลดล็อก

โปรดดูหัวข้อการปลดล็อกบัญชีผู้ใช้

หากตั้งค่า pwdLockoutDuration เป็น >0 แอตทริบิวต์จะกำหนดระยะเวลาที่บัญชีผู้ใช้จะยังคงถูกล็อก เมื่อพ้นระยะเวลานี้ ระบบจะปลดล็อกบัญชีผู้ใช้โดยอัตโนมัติ

เราขอแนะนำให้กำหนดค่าแอตทริบิวต์นี้เป็นค่าเดียวกันกับแอตทริบิวต์ pwdFailureCountInterval

 300 
pwdMaxAge

จำนวนวินาทีที่รหัสผ่านของผู้ใช้ (ไม่ใช่ผู้ดูแลระบบ) จะหมดอายุ ค่า 0 หมายความว่ารหัสผ่านจะไม่มีวันหมดอายุ ค่าเริ่มต้น 2592000 หมายถึง 30 วันนับจากเวลาที่สร้างรหัสผ่าน

user: 2592000

sysadmin: 0

 
pwdMaxFailure

จำนวนครั้งที่พยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกันซึ่งหลังจากนั้นจะไม่สามารถใช้รหัสผ่านในการตรวจสอบสิทธิ์ผู้ใช้ในไดเรกทอรีได้

 3 
pwdMinLength

ระบุจำนวนอักขระขั้นต่ำที่ต้องมีเมื่อตั้งรหัสผ่าน

 8

การปลดล็อกบัญชีผู้ใช้

บัญชีของผู้ใช้อาจถูกล็อกเนื่องจากแอตทริบิวต์ที่กำหนดไว้ในนโยบายรหัสผ่าน ผู้ใช้ที่มีบทบาทผู้ดูแลระบบระบบ Apigee ที่ได้รับมอบหมายสามารถใช้การเรียก API ต่อไปนี้เพื่อปลดล็อกบัญชีของผู้ใช้ แทนที่ userEmail, adminEmail และ password ด้วยค่าจริง

วิธีปลดล็อกผู้ใช้

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password