Sistem Apigee menggunakan OpenLDAP untuk mengautentikasi pengguna di lingkungan pengelolaan API Anda. OpenLDAP menyediakan fungsi kebijakan sandi LDAP ini.
Bagian ini menjelaskan cara mengonfigurasi kebijakan sandi LDAP default yang dikirimkan. Gunakan ini kebijakan {i>password<i} untuk mengonfigurasi berbagai opsi otentikasi {i>password<i}, seperti jumlah upaya masuk gagal berturut-turut setelah itu {i>password<i} tidak lagi dapat digunakan untuk mengotentikasi pengguna ke direktori.
Bagian ini juga menjelaskan cara menggunakan beberapa API untuk mengakses akun pengguna yang telah dikunci sesuai dengan atribut yang dikonfigurasi dalam kebijakan {i>password<i} {i>default<i}.
Untuk informasi tambahan, lihat:
Mengonfigurasi Sandi LDAP Default Kebijakan
Untuk mengonfigurasi kebijakan sandi LDAP default:
- Hubungkan ke server LDAP Anda menggunakan klien LDAP, seperti Apache Studio atau ldapmodify. Menurut
Server OpenLDAP {i>default<i} mendengarkan di porta 10389 pada {i>node<i} OpenLDAP.
Untuk menghubungkan, tentukan Bind DN atau pengguna
cn=manager,dc=apigee,dc=com
dan Sandi OpenLDAP yang Anda setel pada saat penginstalan Edge. - Gunakan klien untuk membuka atribut kebijakan sandi untuk:
- Pengguna edge:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- Admin sistem edge:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Pengguna edge:
- Edit nilai atribut kebijakan sandi sesuai keinginan.
- Simpan konfigurasi.
Atribut Kebijakan Sandi LDAP Default
Atribut | Deskripsi | Default |
---|---|---|
pwdExpireWarning |
Jumlah detik maksimum sebelum sandi habis masa berlakunya pesan peringatan akan dikembalikan ke pengguna yang melakukan otentikasi ke direktori. |
604800 (Setara dengan 7 hari) |
pwdFailureCountInterval |
Jumlah detik setelah upaya binding lama yang gagal secara berturut-turut dihapus dari penghitung kegagalan. Dengan kata lain, ini adalah jumlah detik setelahnya hitungan berturut-turut upaya masuk yang gagal direset. Jika Jika Sebaiknya atribut ini ditetapkan ke nilai yang sama dengan
Atribut |
300 |
pwdInHistory |
Jumlah maksimum sandi yang telah digunakan atau sudah pernah digunakan untuk pengguna yang akan disimpan di
Atribut Saat mengubah {i>password-<i}nya, pengguna akan diblokir sehingga tidak dapat mengubahnya ke {i>password<i} yang lalu. |
3 |
pwdLockout |
Jika |
Salah |
pwdLockoutDuration |
Jumlah detik saat sandi tidak dapat digunakan untuk mengautentikasi pengguna karena terlalu banyak upaya masuk yang gagal secara berturut-turut. Dengan kata lain, ini adalah jangka waktu
di mana akun pengguna akan tetap
terkunci karena melebihi jumlah upaya login gagal berturut-turut yang ditetapkan oleh
Atribut Jika Lihat Membuka kunci akun pengguna. Jika Sebaiknya atribut ini ditetapkan ke nilai yang sama dengan
Atribut |
300 |
pwdMaxAge |
Jumlah detik saat sandi pengguna (non-sysadmin) habis masa berlakunya. Nilai 0 berarti {i>password<i} tidak kedaluwarsa. Nilai default 2592000 setara dengan 30 hari dari seperti saat {i>password<i} dibuat. |
pengguna: 2592000 Admin sistem: 0 |
pwdMaxFailure |
Jumlah upaya masuk yang gagal secara berturut-turut setelah {i>password<i} tidak dapat digunakan untuk mengotentikasi pengguna ke direktori tersebut. |
3 |
pwdMinLength |
Menentukan jumlah karakter minimum yang diperlukan saat menetapkan sandi. |
8 |
Membuka Kunci Akun Pengguna
Akun pengguna dapat dikunci karena atribut yang ditetapkan dalam kebijakan sandi. Seorang pengguna dengan peran Apigee sysadmin yang ditetapkan dapat menggunakan panggilan API berikut untuk membuka kunci menggunakan akun layanan. Ganti userEmail, adminEmail, dan password dengan yang sebenarnya masing-masing.
Untuk membuka akses ke pengguna:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password