System Apigee używa OpenLDAP do uwierzytelniania użytkowników w środowisku zarządzania interfejsami API. OpenLDAP udostępnia tę funkcję zasad dotyczących haseł LDAP.
Ta sekcja zawiera informacje na temat konfigurowania przekazanych domyślnych zasad dotyczących haseł LDAP. Ta zasada dotycząca haseł służy do konfigurowania różnych opcji uwierzytelniania przy użyciu hasła, takich jak liczba kolejnych nieudanych prób logowania, po których nie można już użyć hasła do uwierzytelnienia użytkownika w katalogu.
W tej sekcji opisujemy też, jak przy użyciu kilku interfejsów API odblokowywać konta użytkowników, które zostały zablokowane zgodnie z atrybutami skonfigurowanymi w domyślnych zasadach dotyczących haseł.
Dodatkowe informacje:
Konfigurowanie domyślnej zasady dotyczącej haseł LDAP
Aby skonfigurować domyślne zasady dotyczące haseł LDAP:
- Połącz się z serwerem LDAP przy użyciu klienta LDAP, takiego jak Apache Studio lub ldapmodify. Domyślnie serwer OpenLDAP nasłuchuje na porcie 10389 w węźle OpenLDAP.
Aby nawiązać połączenie, podaj nazwę wyróżniającą powiązania lub użytkownika
cn=manager,dc=apigee,dc=com
oraz hasło OpenLDAP ustawione podczas instalacji Edge. - Za pomocą klienta przejdź do atrybutów zasad dotyczących haseł dla:
- Użytkownicy Edge:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- Edge sysadmin:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Użytkownicy Edge:
- Zmień wartości atrybutów zasad dotyczących haseł według potrzeb.
- Zapisz konfigurację.
Domyślne atrybuty zasad dotyczących haseł LDAP
Atrybut | Opis | Domyślne |
---|---|---|
pwdExpireWarning |
Maksymalna liczba sekund przed wygaśnięciem hasła, po upływie których wygasają wiadomości ostrzegawcze, które będą zwracane do użytkownika uwierzytelniającego się w katalogu. |
604800 (Odpowiednik 7 dni). |
pwdFailureCountInterval |
Liczba sekund, po których stare, kolejne nieudane próby powiązania są trwale usuwane z licznika błędów. Inaczej mówiąc, jest to liczba sekund, po których liczba kolejnych nieudanych prób logowania jest resetowana. Jeśli Jeśli Zalecamy ustawienie dla tego atrybutu tej samej wartości co atrybut |
300 |
pwdInHistory |
Maksymalna liczba używanych lub wcześniejszych haseł użytkownika, które będą przechowywane w atrybucie Gdy zmienisz hasło, użytkownik nie będzie mógł zmienić go na żadne ze swoich wcześniejszych haseł. |
3 |
pwdLockout |
Jeśli |
Fałsz |
pwdLockoutDuration |
Liczba sekund, w których nie można uwierzytelnić użytkownika przy użyciu hasła z powodu zbyt wielu kolejnych nieudanych prób logowania. Oznacza to, że jest to czas, przez jaki konto użytkownika będzie zablokowane z powodu przekroczenia liczby kolejnych nieudanych prób logowania określonej w atrybucie Jeśli Zobacz Odblokowywanie konta użytkownika. Jeśli Zalecamy ustawienie dla tego atrybutu tej samej wartości co atrybut |
300 |
pwdMaxAge |
Liczba sekund, po których hasło użytkownika (innego niż sysadmin) wygasa. Wartość 0 oznacza, że hasła nie wygasają. Domyślna wartość 2592000 odpowiada 30 dniom od utworzenia hasła. |
Użytkownik: 2592000 sysadmin: 0 |
pwdMaxFailure |
Liczba kolejnych nieudanych prób logowania, po których nie można użyć hasła do uwierzytelnienia użytkownika w katalogu. |
3 |
pwdMinLength |
Określa minimalną liczbę znaków wymaganą podczas ustawiania hasła. |
8 |
Odblokowywanie konta użytkownika
Konto użytkownika może zostać zablokowane z powodu atrybutów ustawionych w zasadach dotyczących haseł. Użytkownik z przypisaną rolą sysadmin Apigee może odblokować konto użytkownika za pomocą poniższego wywołania interfejsu API. Zastąp userEmail, adminEmail i password rzeczywistymi wartościami.
Aby odblokować użytkownika:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password