Bu sayfa, Cloud Translation API ile çevrilmiştir.

API yönetimi için varsayılan LDAP şifre politikasını yönetme

Apigee sistemi, API yönetim ortamınızdaki kullanıcıların kimliğini doğrulamak için OpenLDAP'yi kullanır. OpenLDAP, bu LDAP şifre politikası işlevini kullanıma sunar.

Bu bölümde, sağlanan varsayılan LDAP şifre politikasının nasıl yapılandırılacağı açıklanmaktadır. Art arda gelen başarısız giriş denemelerinin sayısı gibi çeşitli şifre kimlik doğrulama seçeneklerini yapılandırmak için bu şifre politikasını kullanın. Bu işlemden sonra şifrenin dizinde kullanıcı kimliğini doğrulamak için kullanılamaz.

Bu bölümde, varsayılan şifre politikasında yapılandırılan özelliklere göre kilitlenen kullanıcı hesaplarının kilidini açmak için birkaç API'nin nasıl kullanılacağı da açıklanmaktadır.

Daha fazla bilgi için:

Varsayılan LDAP şifre politikasını yapılandırma

Bu bölümde, varsayılan LDAP şifre politikasının aşağıdakiler için nasıl yapılandırılacağı açıklanmaktadır:

Edge kullanıcıları ve orijinal sistem yöneticisi
Ek sistem yöneticileri

Edge kullanıcıları ve orijinal sistem yöneticisi için varsayılan LDAP şifre politikasını yapılandırma

Edge kullanıcıları ve orijinal sistem yöneticisi için varsayılan LDAP şifresi politikasını yapılandırmak üzere:

Apache Studio veya ldapmodify gibi bir LDAP istemcisi kullanarak LDAP sunucunuza bağlanın. Varsayılan olarak OpenLDAP sunucusu, OpenLDAP düğümündeki 10389 numaralı bağlantı noktasında dinler.
Bağlantı kurmak için cn=manager,dc=apigee,dc=com kullanıcısının Bind DN'sini veya kullanıcısını ve Edge kurulumu sırasında belirlediğiniz OpenLDAP şifresini belirtin.
İstemciyi kullanarak aşağıdakilerle ilgili şifre politikası özelliklerine gidin:
- Edge kullanıcıları: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Orijinal Edge sistem yöneticisi: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  Not: LDAP şifre politikasını ek sistem yöneticileri (orijinal sistem yöneticisi dışında) için yapılandırmak üzere aşağıdaki LDAP şifre politikasını ek sistem yöneticileri için yapılandırın başlıklı makaleyi inceleyin.
Şifre politikası özellik değerlerini istediğiniz gibi düzenleyin.
Yapılandırmayı kaydedin.

Ek sistem yöneticileri için LDAP şifre politikasını yapılandırma

Edge'e sistem yöneticisi kullanıcıları eklediğinizde, bu kullanıcılar orijinal sistem yöneticisinin sistem yöneticisi şifre politikasını değil, varsayılan şifre politikasını devralır. Aksi yapılandırılmadığı sürece varsayılan şifre politikasının süresi belirli bir süre sonra sona erer. Ek sistem yöneticisi kullanıcılarının şifre politikasını süresi dolmayacak şekilde ayarlamak için aşağıdaki adımları uygulayın:

Şu komutu çalıştırarak dn tüm sistem yöneticilerini bulun:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com" -s base
 -LLL

Çıkışta, sistem yöneticisi kullanıcıları roleOccupant olarak gösterilir:

dn: cn=sysadmin,ou=userroles,ou=global,dc=apigee,dc=com
objectClass: organizationalRole
objectClass: top
cn: sysadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
roleOccupant: uid=2a0056b4-5c62-49de-8fb3-925ch67a3e45,ou=users,ou=global,dc=apigee,dc=com

ppchange.ldif adlı yeni bir dosya oluşturun ve aşağıdakileri ekleyin (kendi sistem yöneticisi kullanıcınızın dn değerini değiştirin):

dn: uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com
changetype: modify
add: pwdPolicySubentry
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Şu komutu girerek kullanıcıyı değiştirin:

ldapmodify -x -w "$ldappassword" -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f ppchange.ldif

Değişikliği ldap arama komutuyla doğrulayın:

ldapsearch -x -W -D "cn=manager,dc=apigee,dc=com" -H "ldap://:10389" -b "uid=new-sysadmin-uid,ou=users,ou=global,dc=apigee,dc=com" -s base -LLL pwdPolicySubentry

Çıktıda pwdPolicySubentry eklenmiş olarak gösterilir:

dn: uid=new-admin-uid,ou=users,ou=global,dc=apigee,dc=com
pwdPolicySubentry: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com

Her sistem yöneticisi için 2 ile 4 arasındaki adımları tekrarlayın.

Varsayılan LDAP Şifre Politikası Özellikleri

Özellik	Açıklama	Varsayılan
pwdExpireWarning	Bir şifrenin geçerlilik süresinin sona ermesinden önce, geçerlilik süresi sonu uyarı mesajlarının dizinde kimlik doğrulaması yapan bir kullanıcıya döndürüleceği maksimum saniye sayısı.	604800 (7 güne eşdeğer)
pwdFailureCountInterval	Art arda yapılan eski başarısız bağlama denemelerinin hata sayacından temizlenmesi için geçen saniye sayısı. Diğer bir deyişle, bu değer, art arda yapılan başarısız giriş denemelerinin sayısının sıfırlandığı saniye sayısıdır. `pwdFailureCountInterval` 0 olarak ayarlanırsa sayaç yalnızca başarılı bir kimlik doğrulamasıyla sıfırlanabilir. `pwdFailureCountInterval` >0 olarak ayarlanırsa özellik, başarılı bir kimlik doğrulaması gerçekleşmemiş olsa bile art arda başarısız giriş denemelerinin sayısının otomatik olarak sıfırlanacağı bir süre tanımlar. Bu özelliğin, `pwdLockoutDuration` özelliğiyle aynı değere ayarlanmasını öneririz.	300
pwdInHistory	Bir kullanıcının geçmişte kullandığı veya şu anda kullandığı şifrelerin maksimum sayısı. Bu sayı, `pwdHistory` özelliğinde saklanır. Kullanıcı, şifresini değiştirirken geçmiş şifrelerinden birini seçemez.	3
pwdLockout	`TRUE` ise kullanıcının şifresi sona erdiğinde kullanıcının artık giriş yapamaması için kullanıcının kilitleneceğini belirtir.	Yanlış
pwdLockoutDuration	Art arda çok fazla başarısız giriş denemesi nedeniyle şifrenin kullanıcının kimliğini doğrulamak için kullanılamadığı saniye sayısı. Diğer bir deyişle, bu süre, `pwdMaxFailure` özelliği tarafından belirlenen art arda başarısız giriş denemelerinin sayısının aşılması nedeniyle bir kullanıcı hesabının kilitli kalacağı süredir. `pwdLockoutDuration` değeri 0 olarak ayarlanırsa kullanıcı hesabı, bir sistem yöneticisi kilidini açana kadar kilitli kalır. Kullanıcı hesabının kilidini açma başlıklı makaleye bakın. `pwdLockoutDuration` >0 olarak ayarlanırsa özellik, kullanıcı hesabının kilitli kalacağı süreyi tanımlar. Bu süre sona erdiğinde kullanıcı hesabının kilidi otomatik olarak açılır. Bu özelliğin, `pwdFailureCountInterval` özelliğiyle aynı değere ayarlanmasını öneririz.	300
pwdMaxAge	Kullanıcı (sistem yöneticisi olmayan) şifresinin geçerlilik süresinin sona erdiği saniye sayısı. 0 değeri, şifrelerin süresinin dolmadığı anlamına gelir. 2592000 olan varsayılan değer, şifre oluşturulduğu andan itibaren 30 güne karşılık gelir.	user: 2592000 sysadmin: 0
pwdMaxFailure	Bir kullanıcının dizinde kimliğini doğrulamak için şifre kullanılamayacak olan art arda başarısız giriş denemelerinin sayısı.	3
pwdMinLength	Şifre ayarlanırken gereken minimum karakter sayısını belirtir.	8

Kullanıcı Hesabının Kilidini Açma

Kullanıcının hesabı, şifre politikasında ayarlanan özellikler nedeniyle kilitlenebilir. Apigee'de sistem yöneticisi rolüne sahip bir kullanıcı, kullanıcının hesabının kilidini açmak için aşağıdaki API çağrısını kullanabilir. userEmail, adminEmail ve password değerlerini gerçek değerlerle değiştirin.

Bir kullanıcının kilidini açmak için:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password

Not: Yalnızca sistem yöneticilerinin bu API'yi çağırabilmesini sağlamak için /users/*/status yolu, Yönetim Sunucusu'nun conf_security_rbac.restricted.resources mülküne dahil edilir:

cd /opt/apigee/edge-management-server

grep -ri "conf_security_rbac.restricted.resources" *

Çıkışta şunlar yer alır:

token/default.properties:conf_security_rbac.restricted.resources=/environments,/environments/*,/environments/*/virtualhosts,/environments/*/virtualhosts/*,/pods,/environments/*/servers,/rebuildindex,/users/*/status