Apigee sistemi, API yönetimi ortamınızdaki kullanıcıların kimliğini doğrulamak için OpenLDAP'yi kullanır. OpenLDAP, bu LDAP şifre politikası işlevini kullanılabilir hale getirir.
Bu bölümde, teslim edilen varsayılan LDAP şifre politikasının nasıl yapılandırılacağı açıklanmaktadır. Bu şifre politikasını, art arda hatalı giriş denemelerinin sayısı gibi çeşitli şifre doğrulama seçeneklerini yapılandırmak için kullanın. Bu işlemden sonra şifre olduğunda, kullanıcının dizinde kimliğini doğrulayabilirsiniz.
Bu bölümde, varsayılan şifre politikasında yapılandırılan özelliklere göre kilitlenen kullanıcı hesaplarının kilidini açmak için birkaç API'nin nasıl kullanılacağı da açıklanmaktadır.
Daha fazla bilgi için aşağıdaki makalelere bakın:
Varsayılan LDAP şifresi politikasını yapılandırma
Bu bölümde, aşağıdakiler için varsayılan LDAP şifre politikasının nasıl yapılandırılacağı açıklanmaktadır:
Edge kullanıcıları ve orijinal sistem yöneticisi için varsayılan LDAP şifresi politikasını yapılandırma
Edge kullanıcıları ve orijinal sistem yöneticisi için varsayılan LDAP şifresi politikasını yapılandırmak üzere:
- Apache Studio veya ldapmodify gibi bir LDAP istemcisi kullanarak LDAP sunucunuza bağlanın. OpenLDAP sunucusu, varsayılan olarak OpenLDAP düğümündeki 10389 numaralı bağlantı noktasında dinleme yapar.
Bağlanmak için
cn=manager,dc=apigee,dc=com
ürününün Bind DN'sini veya kullanıcısını ve Edge kurulumu sırasında belirlediğiniz OpenLDAP şifresini belirtin. - İstemciyi kullanarak aşağıdakilerle ilgili şifre politikası özelliklerine gidin:
- Edge kullanıcıları:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- Orijinal Edge sistem yöneticisi:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
Not: Ek sistem yöneticileri (orijinal sysadmin dışında) için LDAP şifre politikasını yapılandırmak üzere aşağıdaki Ek sysadmins için LDAP şifre politikasını yapılandırma bölümüne bakın.
- Edge kullanıcıları:
- Şifre politikası özellik değerlerini istediğiniz gibi düzenleyin.
- Yapılandırmayı kaydedin.
Ek sistem yöneticileri için LDAP şifre politikasını yapılandırma
Edge'e sistem yöneticisi kullanıcıları eklediğinizde, bu kullanıcılar orijinal sistem yöneticisinin şifre politikası yerine varsayılan şifre politikasını devralır. Varsayılan şifre politikası, aksi şekilde yapılandırılmadıkça belirli bir süre sonra geçerliliğini yitirir. Ek sysadmin kullanıcılarının şifre politikasını süresi dolmayacak şekilde ayarlamak için şu adımları uygulayın:
- Şu komutu çalıştırarak tüm sistem yöneticilerini
dn
bulabilirsiniz:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base -LLL
Çıkış, sistem yöneticisi kullanıcılarını
roleOccupant
olarak gösterir:dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com objectClass: organizationalRole objectClass: top cn: sysadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com
ppchange.ldif
adında yeni bir dosya oluşturun ve aşağıdaki dosyayı ekleyin (kendi sysadmin kullanıcınızın dn'sini değiştirerek):dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com changetype: modify add: pwdPolicySubentry pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Şu komutu girerek kullanıcıda değişiklik yapın:
ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif
ldap
arama komutuyla değişikliği doğrulayın:ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry
Çıkış,
pwdPolicySubentry
öğesinin eklendiğini gösterir:dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Her sistem yöneticisi için 2-4. adımları tekrarlayın.
Varsayılan LDAP Şifre Politikası Özellikleri
Özellik | Açıklama | Varsayılan |
---|---|---|
pwdExpireWarning |
Bir şifrenin süresinin dolmasına kalan saniye cinsinden maksimum süre, dizinde kimlik doğrulaması yapan bir kullanıcıya uyarı mesajları döndürülür. |
604800 (7 güne eşdeğer) |
pwdFailureCountInterval |
Ardışık başarısız bağlama denemelerinin, hata sayacından kalıcı olarak silinmesi için geçmesi gereken süre (saniye cinsinden). Başka bir deyişle bu sayı, art arda yapılan başarısız giriş denemelerinin sayısının sıfırlandığı saniye sayısıdır.
Bu özelliğin, |
300 |
pwdInHistory |
Bir kullanıcı için Kullanıcının şifresini değiştirirken, eski şifrelerinden biriyle değiştirmesi engellenir. |
3 |
pwdLockout |
|
Yanlış |
pwdLockoutDuration |
Arka arkaya çok sayıda başarısız giriş denemesi nedeniyle şifrenin, kullanıcının kimliğini doğrulamak için kullanılamayacağı saniye sayısı. Başka bir deyişle bu,
Kullanıcı hesabının kilidini açma başlıklı makaleyi inceleyin.
Bu özelliğin, |
300 |
pwdMaxAge |
Kullanıcı (sistem yöneticisi olmayan) şifresinin süresinin dolacağı saniye sayısı. 0 değeri, şifrelerin süresinin dolmadığı anlamına gelir. Varsayılan değer olan 2592000, şifrenin oluşturulduğu tarihten itibaren 30 güne karşılık gelir. |
kullanıcı: 2592000 sistem yöneticisi: 0 |
pwdMaxFailure |
Bir kullanıcının dizinde kimliğini doğrulamak için bir şifrenin kullanılamayacağı art arda başarısız giriş denemelerinin sayısı. |
3 |
pwdMinLength |
Bir şifre ayarlanırken gereken minimum karakter sayısını belirtir. |
8 |
Kullanıcı Hesabının Kilidini Açma
Kullanıcının hesabı, şifre politikasında belirlenen özellikler nedeniyle kilitlenmiş olabilir. Sistem yöneticisi Apigee rolü atanmış bir kullanıcı, kullanıcının hesabının kilidini açmak için aşağıdaki API çağrısını kullanabilir. userEmail, adminEmail ve password değerlerini gerçek değerlerle değiştirin.
Bir kullanıcının kilidini açmak için:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password