إدارة السياسة التلقائية لكلمات مرور خدمة LDAP لإدارة واجهة برمجة التطبيقات

يستخدم نظام Apigee بروتوكول OpenLDAP لمصادقة المستخدمين في بيئة إدارة واجهة برمجة التطبيقات. يتيح بروتوكول OpenLDAP وظائف سياسة كلمة مرور LDAP هذه.

يصف هذا القسم طريقة ضبط سياسة كلمة مرور LDAP التلقائية التي تم تسليمها. استخدام هذه المسودة سياسة كلمة المرور لتهيئة الخيارات المتنوعة لمصادقة كلمة المرور، مثل عدد محاولات تسجيل الدخول الفاشلة المتتالية التي لا يمكن بعدها استخدام كلمة مرور لمصادقة المستخدم إلى الدليل.

يصف هذا القسم أيضًا كيفية استخدام اثنين من واجهات برمجة التطبيقات لإتاحة حسابات المستخدمين التي يتم قفله وفقًا للسمات التي تم ضبطها في السياسة التلقائية لكلمات المرور.

للحصول على معلومات إضافية، يُرجى الاطّلاع على:

تهيئة كلمة مرور LDAP الافتراضية السياسة

لتهيئة سياسة كلمة مرور LDAP الافتراضية:

  1. الاتصال بخادم LDAP باستخدام برنامج LDAP، مثل Apache Studio أو ldapmodify من يصغي خادم OpenLDAP الافتراضي على المنفذ 10389 على عقدة OpenLDAP.

    لإجراء الربط، يُرجى تحديد الاسم المميز للربط أو مستخدم cn=manager,dc=apigee,dc=com كلمة مرور OpenLDAP التي أعددتها أثناء تثبيت Edge.

  2. استخدِم البرنامج للانتقال إلى سمات سياسة كلمة المرور لما يلي:
    • مستخدمو Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • مشرف إدارة النظم Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. عدِّل قيم سمة سياسة كلمة المرور كما تريد.
  4. احفظ الإعداد.

سمات سياسة كلمة مرور LDAP التلقائية

السمة الوصف تلقائي
pwdExpireWarning
الحد الأقصى لعدد الثواني قبل انتهاء صلاحية كلمة المرور سيتم إرجاع رسائل التحذير إلى المستخدم الذي يقوم بالمصادقة إلى الدليل.

604800

(ما يعادل 7 أيام)

pwdFailureCountInterval

عدد الثواني التي يتم بعدها إزالة محاولات الربط المتتالية المتتالية الفاشلة من عدّاد الفشل.

بعبارة أخرى، هذا هو عدد الثواني التي تتم إعادة ضبط محاولات تسجيل الدخول الفاشلة.

إذا تم ضبط pwdFailureCountInterval على 0، يمكن فقط للمصادقة الناجحة أن يعيد تعيين العدّاد.

إذا تم ضبط pwdFailureCountInterval على >0، تحدد السمة المدة التي يتم بعدها عدد مرات تعذُّر تسجيل الدخول المتتالية تتم إعادة تعيين المحاولات تلقائيًا، حتى في حالة عدم حدوث مصادقة ناجحة.

نقترح أن يتم تعيين هذه السمة إلى نفس قيمة pwdLockoutDuration.

300
pwdInHistory

الحد الأقصى لعدد كلمات المرور المستخدمة أو السابقة للمستخدم والتي سيتم تخزينها في pwdHistory.

عند تغيير كلمة المرور، سيتم منع المستخدم من تغييرها إلى أي كلمة مرور كلمات المرور السابقة.

3
pwdLockout

إذا كانت السمة TRUE، تحدّد على حظر المستخدم عند انتهاء صلاحية كلمة المرور حتى لا يتمكن المستخدم من تسجيل الدخول مرة أخرى.

خطأ
pwdLockoutDuration

عدد الثواني التي لا يمكن خلالها استخدام كلمة مرور لمصادقة المستخدم المستحق إلى عدد كبير جدًا من محاولات تسجيل الدخول المتتالية الفاشلة.

بمعنى آخر، هي المدة الزمنية التي يظل خلالها حساب المستخدم تم قفلها بسبب تجاوز عدد محاولات تسجيل الدخول المتتالية الفاشلة التي حددها pwdMaxFailure.

إذا تم ضبط pwdLockoutDuration على 0، سيظل حساب المستخدم مقفلاً. إلى أن يفتح مشرف النظام قفلها

يُرجى الاطّلاع على فتح قفل حساب مستخدم.

إذا pwdLockoutDuration على >0، فإن السمة تحدد المدة التي سيظل فيها حساب المستخدم مُقفل. عند انقضاء هذه الفترة الزمنية، سيتم تحويل حساب المستخدم تلقائيًا مفتوحًا.

نقترح أن يتم تعيين هذه السمة إلى نفس قيمة pwdFailureCountInterval.

300
pwdMaxAge

عدد الثواني التي تنتهي بعدها صلاحية كلمة مرور مستخدم (غير مسؤول عن إدارة النظم). القيمة 0 يعني عدم انتهاء صلاحية كلمات المرور. تتوافق القيمة الافتراضية 2592000 مع 30 يومًا من وقت إنشاء كلمة المرور.

المستخدم: 2592000

مشرف النظام: 0

pwdMaxFailure

عدد محاولات تسجيل الدخول المتتالية الفاشلة التي لا يمكن استخدام كلمة مرور خلالها مصادقة المستخدم مع الدليل.

3
pwdMinLength

تحدِّد هذه السياسة الحد الأدنى من عدد الأحرف المطلوبة عند ضبط كلمة المرور.

8

إلغاء قفل حساب مستخدم

قد يتم قفل حساب المستخدم بسبب السمات التي تم ضبطها في سياسة كلمة المرور. لنفترض أن هناك مستخدمًا يمكن لدور مسؤول إدارة النظم في Apigee استخدام طلب البيانات من واجهة برمجة التطبيقات التالي لفتح قفل الحساب. استبدال userEmail وadminEmail وpassword بالقيم الفعلية القيم.

لفتح قفل مستخدم:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password