การจัดการนโยบายรหัสผ่าน LDAP เริ่มต้นสําหรับการจัดการ API

ระบบ Apigee จะใช้ OpenLDAP เพื่อตรวจสอบสิทธิ์ผู้ใช้ในสภาพแวดล้อมการจัดการ API OpenLDAP จะทำให้ฟังก์ชันการทำงานของนโยบายรหัสผ่าน LDAP นี้ใช้งานได้

ส่วนนี้จะอธิบายวิธีกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้นที่ส่ง ใช้นโยบายรหัสผ่านนี้เพื่อกำหนดค่าตัวเลือกการตรวจสอบสิทธิ์รหัสผ่านต่างๆ เช่น จำนวนครั้งในการเข้าสู่ระบบที่ล้มเหลวติดต่อกัน หลังจากนั้นจะไม่สามารถใช้รหัสผ่านเพื่อตรวจสอบสิทธิ์ผู้ใช้ในการเข้าถึงไดเรกทอรีได้อีก

ส่วนนี้ยังอธิบายถึงวิธีใช้ API หลายรายการเพื่อปลดล็อกบัญชีผู้ใช้ที่ถูกล็อกตามแอตทริบิวต์ที่กำหนดค่าไว้ในนโยบายรหัสผ่านเริ่มต้น

โปรดดูข้อมูลเพิ่มเติมจากหัวข้อต่อไปนี้

การกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้น

หัวข้อนี้จะอธิบายวิธีกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้นสำหรับบริการต่อไปนี้

การกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้นสำหรับผู้ใช้ Edge และผู้ดูแลระบบเดิม

วิธีกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้นสำหรับผู้ใช้ Edge และผู้ดูแลระบบเดิม

  1. เชื่อมต่อกับเซิร์ฟเวอร์ LDAP โดยใช้ไคลเอ็นต์ LDAP เช่น Apache Studio หรือ ldapmodify โดยค่าเริ่มต้น เซิร์ฟเวอร์ OpenLDAP จะฟังผ่านพอร์ต 10389 บนโหนด OpenLDAP

    หากต้องการเชื่อมต่อ ให้ระบุ DN การเชื่อมโยงหรือผู้ใช้ของ cn=manager,dc=apigee,dc=com และรหัสผ่าน OpenLDAP ที่คุณตั้งค่าไว้ขณะติดตั้ง Edge

  2. ใช้ไคลเอ็นต์เพื่อไปยังแอตทริบิวต์นโยบายรหัสผ่านสำหรับสิ่งต่อไปนี้
  3. แก้ไขค่าแอตทริบิวต์นโยบายรหัสผ่านตามต้องการ
  4. บันทึกการกำหนดค่า

การกำหนดค่านโยบายรหัสผ่าน LDAP สำหรับผู้ดูแลระบบเพิ่มเติม

เมื่อคุณเพิ่มผู้ใช้ sysadmin ใน Edge ผู้ใช้จะได้รับนโยบายรหัสผ่านเริ่มต้น แทนที่จะเป็นนโยบายรหัสผ่าน sysadmin จาก sysadmin เดิม นโยบายรหัสผ่านเริ่มต้นจะหมดอายุหลังจากผ่านไประยะเวลาหนึ่ง เว้นแต่ว่าจะมีการกำหนดค่าให้เป็นอย่างอื่น หากต้องการตั้งค่านโยบายรหัสผ่านของผู้ใช้ Syadmin เพิ่มเติมเพื่อไม่ให้รหัสหมดอายุ ให้ทำตามขั้นตอนต่อไปนี้

  1. ค้นหา dn sysadmins ทั้งหมดโดยเรียกใช้คำสั่งนี้: 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

    ผลลัพธ์จะแสดงผู้ใช้ผู้ดูแลระบบเป็น roleOccupant:

    dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
  2. สร้างไฟล์ใหม่ชื่อ ppchange.ldif และเพิ่มข้อมูลต่อไปนี้ (แทนที่ dn ของผู้ใช้ sysadmin ของคุณเอง) 
    dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. แก้ไขผู้ใช้โดยป้อนคำสั่งต่อไปนี้ 
    ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
  4. ยืนยันการเปลี่ยนแปลงด้วยคำสั่งการค้นหา ldap ดังนี้ 
    ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

    เอาต์พุตจะแสดงการเพิ่ม pwdPolicySubentry: 

    dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

  5. ทำซ้ำขั้นตอนที่ 2 ถึง 4 สำหรับผู้ดูแลระบบแต่ละราย

แอตทริบิวต์นโยบายรหัสผ่าน LDAP เริ่มต้น

แอตทริบิวต์ คำอธิบาย ค่าเริ่มต้น 
pwdExpireWarning
 จำนวนวินาทีสูงสุดก่อนที่รหัสผ่านจะหมดอายุ ระบบจะส่งข้อความคำเตือนการหมดอายุไปยังผู้ใช้ที่กำลังตรวจสอบสิทธิ์ในไดเรกทอรี

604800

(เทียบเท่ากับ 7 วัน)

 
pwdFailureCountInterval

จำนวนวินาทีหลังจากความพยายามเชื่อมโยงที่ล้มเหลวติดต่อกันครั้งเก่าจะถูกลบถาวรจากตัวนับความล้มเหลว

กล่าวคือ จำนวนวินาทีที่หลังจากรีเซ็ตจำนวนความพยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกันแล้ว

หากตั้งค่า pwdFailureCountInterval เป็น 0 จะมีเพียงการตรวจสอบสิทธิ์ที่สำเร็จเท่านั้นที่รีเซ็ตตัวนับได้

หากตั้งค่า pwdFailureCountInterval เป็น >0 แอตทริบิวต์จะกำหนดระยะเวลาหลังจากที่ระบบรีเซ็ตจำนวนครั้งในการเข้าสู่ระบบที่ล้มเหลวติดต่อกันแล้วโดยอัตโนมัติ แม้ว่าจะไม่มีการตรวจสอบสิทธิ์ที่สำเร็จก็ตาม

เราขอแนะนำให้ตั้งค่าแอตทริบิวต์นี้เป็นค่าเดียวกับแอตทริบิวต์ pwdLockoutDuration

 300 
pwdInHistory

จำนวนสูงสุดของรหัสผ่านที่ใช้หรือรหัสผ่านที่ผ่านมาสำหรับผู้ใช้ที่จะจัดเก็บในแอตทริบิวต์ pwdHistory

เมื่อเปลี่ยนรหัสผ่าน ระบบจะบล็อกไม่ให้ผู้ใช้เปลี่ยนรหัสผ่านเป็นรหัสผ่านที่ผ่านมาแล้ว

 3 
pwdLockout

หากเป็น TRUE ให้ระบุว่าจะให้ล็อกไม่ให้ผู้ใช้เข้าสู่ระบบเมื่อรหัสผ่านหมดอายุเพื่อให้ผู้ใช้ลงชื่อเข้าสู่ระบบไม่ได้อีกต่อไป

 เท็จ 
pwdLockoutDuration

จำนวนวินาทีที่ไม่สามารถใช้รหัสผ่านในการตรวจสอบสิทธิ์ผู้ใช้ เนื่องจากมีความพยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกันหลายครั้งเกินไป

กล่าวคือ นี่เป็นระยะเวลาที่บัญชีผู้ใช้จะยังคงล็อกอยู่เนื่องจากมีความพยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกันเกินจำนวนครั้งที่กำหนดโดยแอตทริบิวต์ pwdMaxFailure

หากตั้งค่า pwdLockoutDuration เป็น 0 บัญชีผู้ใช้จะยังคงล็อกจนกว่าผู้ดูแลระบบจะปลดล็อก

โปรดดูที่การปลดล็อกบัญชีผู้ใช้

หากตั้งค่า pwdLockoutDuration เป็น >0 แอตทริบิวต์จะกำหนดระยะเวลาที่บัญชีผู้ใช้จะยังคงล็อก หลังจากผ่านระยะเวลานี้ไปแล้ว ระบบจะปลดล็อกบัญชีผู้ใช้โดยอัตโนมัติ

เราขอแนะนำให้ตั้งค่าแอตทริบิวต์นี้เป็นค่าเดียวกับแอตทริบิวต์ pwdFailureCountInterval

 300 
pwdMaxAge

จำนวนวินาทีที่รหัสผ่านของผู้ใช้ (ที่ไม่ใช่ผู้ดูแลระบบ) หมดอายุ ค่า 0 หมายความว่ารหัสผ่านไม่มีวันหมดอายุ ค่าเริ่มต้น 2592000 ตรงกับ 30 วันนับจากเวลาสร้างรหัสผ่าน

ผู้ใช้: 2592000

ผู้ดูแลระบบ: 0

 
pwdMaxFailure

จำนวนครั้งที่พยายามเข้าสู่ระบบที่ล้มเหลวติดต่อกัน หลังจากนั้นไม่สามารถใช้รหัสผ่านเพื่อตรวจสอบสิทธิ์ผู้ใช้ในการเข้าถึงไดเรกทอรี

 3 
pwdMinLength

ระบุจำนวนอักขระต่ำสุดที่กำหนดเมื่อตั้งค่ารหัสผ่าน

 8

การปลดล็อกบัญชีผู้ใช้

บัญชีของผู้ใช้อาจถูกล็อกเนื่องจากแอตทริบิวต์ที่กำหนดไว้ในนโยบายรหัสผ่าน ผู้ใช้ที่มีบทบาท Apigee สำหรับผู้ดูแลระบบจะใช้การเรียก API ต่อไปนี้เพื่อปลดล็อกบัญชีของผู้ใช้ได้ แทนที่ userEmail, adminEmail และ password ด้วยค่าจริง

วิธีปลดล็อกผู้ใช้

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password