Система Apigee использует OpenLDAP для аутентификации пользователей в вашей среде управления API. OpenLDAP делает доступной эту функциональность политики паролей LDAP.
В этом разделе описывается, как настроить политику паролей LDAP по умолчанию. Используйте эту политику паролей для настройки различных параметров аутентификации по паролю, таких как количество последовательных неудачных попыток входа в систему, после которых пароль больше не может использоваться для аутентификации пользователя в каталоге.
В этом разделе также описывается, как использовать несколько API-интерфейсов для разблокировки учетных записей пользователей, которые были заблокированы в соответствии с атрибутами, настроенными в политике паролей по умолчанию.
Дополнительную информацию см.:
Настройка политики паролей LDAP по умолчанию
Чтобы настроить политику паролей LDAP по умолчанию:
- Подключитесь к серверу LDAP с помощью клиента LDAP, например Apache Studio или ldapmodify. По умолчанию сервер OpenLDAP прослушивает порт 10389 на узле OpenLDAP.
Для подключения укажите DN привязки или пользователя
cn=manager,dc=apigee,dc=comи пароль OpenLDAP, который вы установили во время установки Edge. - Используйте клиент для перехода к атрибутам политики паролей для:
- Пользователи Edge:
cn=default,ou=pwpolicies,dc=apigee,dc=com - Системный администратор Edge:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Пользователи Edge:
- Измените значения атрибутов политики паролей по своему усмотрению.
- Сохраните конфигурацию.
Атрибуты политики паролей LDAP по умолчанию
| Атрибут | Описание | По умолчанию |
|---|---|---|
pwdExpireWarning | Максимальное количество секунд до истечения срока действия пароля, после которого пользователю, прошедшему аутентификацию в каталоге, будут возвращены предупреждения об истечении срока действия. | 604800 (эквивалент 7 дней) |
pwdFailureCountInterval | Количество секунд, по истечении которых старые последовательные неудачные попытки привязки удаляются из счетчика неудач. Другими словами, это количество секунд, по истечении которых счетчик последовательных неудачных попыток входа в систему сбрасывается. Если Если для Мы предлагаем установить для этого атрибута то же значение, что и для атрибута | 300 |
pwdInHistory | Максимальное количество использованных или прошлых паролей пользователя, которое будет храниться в атрибуте При смене пароля пользователю будет запрещено менять его на любой из своих прошлых паролей. | 3 |
pwdLockout | Если | ЛОЖЬ |
pwdLockoutDuration | Количество секунд, в течение которых пароль не может быть использован для аутентификации пользователя из-за слишком большого количества последовательных неудачных попыток входа в систему. Другими словами, это период времени, в течение которого учетная запись пользователя будет оставаться заблокированной из-за превышения количества последовательных неудачных попыток входа в систему, установленных атрибутом Если для См. раздел Разблокировка учетной записи пользователя . Если для Мы предлагаем установить для этого атрибута то же значение, что и для атрибута | 300 |
pwdMaxAge | Количество секунд, по истечении которых истекает срок действия пароля пользователя (не системного администратора). Значение 0 означает, что срок действия паролей не ограничен. Значение по умолчанию 2592000 соответствует 30 дням с момента создания пароля. | пользователь: 2592000 сисадмин: 0 |
pwdMaxFailure | Количество последовательных неудачных попыток входа в систему, после которых пароль не может быть использован для аутентификации пользователя в каталоге. | 3 |
pwdMinLength | Указывает минимальное количество символов, необходимое при установке пароля. | 8 |
Разблокировка учетной записи пользователя
Учетная запись пользователя может быть заблокирована из-за атрибутов, установленных в политике паролей. Пользователь с назначенной ролью системного администратора Apigee может использовать следующий вызов API, чтобы разблокировать учетную запись пользователя. Замените userEmail , adminEmail и password фактическими значениями.
Чтобы разблокировать пользователя:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password