ניהול מדיניות ברירת המחדל של סיסמת LDAP לניהול ממשק API

מערכת Apigee משתמשת ב-OpenLDAP כדי לאמת משתמשים בסביבת הניהול של ממשק ה-API. הפונקציונליות של מדיניות הסיסמה של LDAP זמינה על ידי OpenLDAP.

בקטע הזה מוסבר איך להגדיר את מדיניות ברירת המחדל בנושא סיסמאות LDAP. צריך להשתמש במדיניות הזו של סיסמה כדי להגדיר אפשרויות שונות לאימות סיסמאות. למשל, מספר ניסיונות ההתחברות הכושלים הרצופים שאחריהם אי אפשר יותר להשתמש בסיסמה כדי לאמת משתמשים בספרייה.

בקטע הזה מוסבר גם איך להשתמש בכמה ממשקי API כדי לבטל את הנעילה של חשבונות משתמשים שננעלו בהתאם למאפיינים שהוגדרו במדיניות הסיסמאות המוגדרת כברירת מחדל.

מידע נוסף זמין במאמרים הבאים:

הגדרת מדיניות ברירת המחדל לסיסמאות של LDAP

כדי להגדיר את מדיניות ברירת המחדל לסיסמאות של LDAP:

  1. התחבר לשרת ה-LDAP שלך באמצעות לקוח LDAP, כמו Apache Studio או ldapmodify. כברירת מחדל, שרת OpenLDAP מאזין ביציאה 10389 בצומת OpenLDAP.

    כדי להתחבר צריך לציין את ה-Bind DN או את המשתמש של cn=manager,dc=apigee,dc=com ואת סיסמת ה-OpenLDAP שהגדרתם בזמן ההתקנה של Edge.

  2. משתמשים בלקוח כדי לעבור למאפיינים של מדיניות הסיסמאות של:
    • משתמשי קצה: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • sysadmin של Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. עורכים את ערכי המאפיין של מדיניות הסיסמאות לפי הצורך.
  4. שומרים את התצורה.

מאפייני ברירת המחדל של מדיניות הסיסמאות של LDAP

מאפיין התיאור ברירת המחדל 
pwdExpireWarning
 מספר השניות המקסימלי לפני שתוקף הסיסמה יפוג. הודעות אזהרה לגבי תפוגת התוקף יוחזרו למשתמש שמבצע אימות בספרייה.

604800

(שווה ל-7 ימים)

 
pwdFailureCountInterval

מספר השניות שאחריהן ניסיונות קישור כושלים רצופים נמחקות לצמיתות ממונה הכישלונות.

במילים אחרות, זהו מספר השניות שאחריהן מתבצע איפוס של מספר ניסיונות ההתחברות שנכשלו.

אם המדיניות pwdFailureCountInterval מוגדרת ל-0, רק אימות מוצלח יכול לאפס את המונה.

אם הערך של pwdFailureCountInterval הוא >0, המאפיין מגדיר משך זמן שאחריו מתאפסת באופן אוטומטי מספר ניסיונות ההתחברות הכושלים הרצופים, גם אם לא בוצע אימות בהצלחה.

מומלץ להגדיר את המאפיין הזה עם אותו ערך של המאפיין pwdLockoutDuration.

 300 
pwdInHistory

המספר המקסימלי של סיסמאות בשימוש או בעבר של משתמש שיאוחסן במאפיין pwdHistory.

לאחר שינוי הסיסמה, המשתמש ייחסם ולא יוכל לשנות אותה לאחת מהסיסמאות הקודמות שלה.

 3 
pwdLockout

אם המדיניות TRUE קובעת שינעלו את המשתמש כשתוקף הסיסמה שלו יפוג, כדי שהוא לא יוכל להתחבר יותר.

 לא נכון 
pwdLockoutDuration

מספר השניות שבהן לא ניתן להשתמש בסיסמה לאימות המשתמש בגלל יותר מדי ניסיונות התחברות כושלים רצופים.

במילים אחרות, זהו משך הזמן שבמהלכו חשבון משתמש יישאר נעול עקב מספר ניסיונות התחברות כושלים רצופים שהוגדרו על ידי מאפיין pwdMaxFailure.

אם המדיניות pwdLockoutDuration מוגדרת ל-0, חשבון המשתמש יישאר נעול עד שמנהל מערכת יבטל את הנעילה.

למידע נוסף, ראו ביטול נעילה של חשבון משתמש.

אם הערך של pwdLockoutDuration מוגדר כ->0, המאפיין מגדיר משך זמן שבו חשבון המשתמש יישאר נעול. בתום פרק הזמן הזה, הנעילה של חשבון המשתמש תבוטל באופן אוטומטי.

מומלץ להגדיר את המאפיין הזה עם אותו ערך של המאפיין pwdFailureCountInterval.

 300 
pwdMaxAge

מספר השניות שאחריהן תפוג הסיסמה של משתמש (שאינו sysadmin). אם הערך הוא 0, התוקף של הסיסמאות לא פג. ערך ברירת המחדל של 2592,000 תואם ל-30 ימים ממועד יצירת הסיסמה.

משתמש: 2592000

sysadmin: 0

 
pwdMaxFailure

מספר ניסיונות התחברות כושלים רצופים, שאחריהם לא ניתן להשתמש בסיסמה כדי לאמת משתמש בספרייה.

 3 
pwdMinLength

מציין את מספר התווים המינימלי שנדרש במהלך הגדרת סיסמה.

 8

ביטול הנעילה של חשבון משתמש

יכול להיות שחשבון של משתמש יינעל בגלל מאפיינים שמוגדרים במדיניות הסיסמאות. משתמש שהוקצה לו התפקיד sysadmin Apigee יכול להשתמש בקריאה הבאה ל-API כדי לבטל את נעילת החשבון של המשתמש. מחליפים את userEmail, adminEmail ו-password בערכים בפועל.

כדי לבטל את הנעילה של משתמש:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password