Apigee 시스템은 OpenLDAP를 사용해 API 관리 환경에서 사용자를 인증합니다. OpenLDAP는 이 LDAP 비밀번호 정책 기능을 사용할 수 있도록 합니다.
이 섹션에서는 전송된 기본 LDAP 비밀번호 정책을 구성하는 방법을 설명합니다. 이 비밀번호 정책을 사용하여 다양한 비밀번호 인증 옵션(예: 연속 로그인 시도 실패 횟수, 이후 비밀번호를 사용하여 사용자를 디렉터리에 인증할 수 없음)을 구성할 수 있습니다.
이 섹션에서는 몇 가지 API를 사용하여 기본 비밀번호 정책에 구성된 속성에 따라 잠긴 사용자 계정을 잠금 해제하는 방법도 설명합니다.
자세한 내용은 다음을 참조하세요.
기본 LDAP 비밀번호 정책 구성
기본 LDAP 비밀번호 정책을 구성하려면 다음 단계를 따르세요.
- Apache Studio 또는 ldapmodify와 같은 LDAP 클라이언트를 사용하여 LDAP 서버에 연결합니다. 기본적으로 OpenLDAP 서버는 OpenLDAP 노드의 포트 10389에서 수신 대기합니다.
연결하려면 Bind DN 또는
cn=manager,dc=apigee,dc=com
의 사용자와 Edge 설치 시 설정한 OpenLDAP 비밀번호를 지정합니다. - 클라이언트를 사용하여 다음의 비밀번호 정책 속성으로 이동합니다.
- 에지 사용자:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- 에지 시스템 관리자:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- 에지 사용자:
- 비밀번호 정책 속성 값을 원하는 대로 수정합니다.
- 구성을 저장합니다.
기본 LDAP 비밀번호 정책 속성
속성 | 설명 | 기본 계정 |
---|---|---|
pwdExpireWarning |
비밀번호가 만료되기 전까지 남은 최대 시간(초)으로, 디렉터리에 인증하는 사용자에게 만료 경고 메시지가 반환됩니다. |
604800 (7일 동안) |
pwdFailureCountInterval |
이전에 연속으로 실패한 바인드 시도가 실패 카운터에서 삭제되기까지 경과한 시간(초)입니다. 즉, 이 시간은 연속 로그인 시도 실패 횟수가 재설정되기까지의 시간(초)입니다.
이 속성은 |
300 |
pwdInHistory |
비밀번호를 변경하면 사용자는 이전 비밀번호로 변경할 수 없습니다. |
3 |
pwdLockout |
|
거짓 |
pwdLockoutDuration |
연속 로그인 시도가 너무 많아 사용자를 인증하는 데 비밀번호를 사용할 수 없는 시간(초)입니다. 즉,
사용자 계정 잠금 해제를 참조하세요.
이 속성은 |
300 |
pwdMaxAge |
시스템 관리자가 아닌 사용자의 비밀번호가 만료되기까지 걸리는 시간 (초)입니다. 값이 0이면 비밀번호가 만료되지 않습니다. 기본값 2592000은 비밀번호가 생성된 시점으로부터 30일에 해당합니다. |
사용자: 2592000 시스템 관리자: 0 |
pwdMaxFailure |
디렉터리에 사용자를 인증하는 데 비밀번호를 사용할 수 없게 된 후 연속 로그인 시도 실패 횟수. |
3 |
pwdMinLength |
비밀번호를 설정할 때 필요한 최소 문자 수를 지정합니다. |
8 |
사용자 계정 잠금 해제
비밀번호 정책에 설정된 속성으로 인해 사용자 계정이 잠길 수 있습니다. 시스템 관리자 Apigee 역할이 할당된 사용자는 다음 API 호출을 사용하여 사용자 계정을 잠금 해제할 수 있습니다. userEmail, adminEmail, password를 실제 값으로 바꿉니다.
사용자 잠금을 해제하려면 다음 단계를 따르세요.
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password