إدارة السياسة التلقائية لكلمات مرور خدمة LDAP لإدارة واجهة برمجة التطبيقات

يستخدم نظام Apigee بروتوكول OpenLDAP لمصادقة المستخدمين في بيئة إدارة واجهة برمجة التطبيقات. يتيح بروتوكول OpenLDAP وظائف سياسة كلمة مرور LDAP هذه.

يصف هذا القسم طريقة ضبط سياسة كلمة مرور LDAP التلقائية التي تم تسليمها. استخدام هذه المسودة سياسة كلمة المرور لتهيئة الخيارات المتنوعة لمصادقة كلمة المرور، مثل عدد محاولات تسجيل الدخول الفاشلة المتتالية التي لا يمكن بعدها استخدام كلمة مرور لمصادقة المستخدم إلى الدليل.

يصف هذا القسم أيضًا كيفية استخدام اثنين من واجهات برمجة التطبيقات لإتاحة حسابات المستخدمين التي يتم قفله وفقًا للسمات التي تم ضبطها في السياسة التلقائية لكلمات المرور.

للحصول على معلومات إضافية، يُرجى الاطّلاع على:

ضبط سياسة كلمة مرور LDAP التلقائية

لتهيئة سياسة كلمة مرور LDAP الافتراضية:

  1. الاتصال بخادم LDAP باستخدام برنامج LDAP، مثل Apache Studio أو ldapmodify من يصغي خادم OpenLDAP الافتراضي على المنفذ 10389 على عقدة OpenLDAP.

    للربط، يُرجى تحديد الاسم المميز للربط أو مستخدم cn=manager,dc=apigee,dc=com كلمة مرور OpenLDAP التي أعددتها أثناء تثبيت Edge.

  2. استخدِم البرنامج للانتقال إلى سمات سياسة كلمة المرور لما يلي:
    • مستخدمو Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • مشرف إدارة النظم Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. عدِّل قيم سمة سياسة كلمة المرور على النحو المطلوب.
  4. احفظ الإعداد.

سمات سياسة كلمة مرور LDAP التلقائية

السمة الوصف تلقائي 
pwdExpireWarning
 الحد الأقصى لعدد الثواني قبل انتهاء صلاحية كلمة المرور التي سيتم إرسال رسائل تحذير بشأن انتهاء صلاحيتها إلى المستخدم الذي يُثبت هويته في الدليل.

604800

(ما يعادل 7 أيام)

 
pwdFailureCountInterval

عدد الثواني التي يتم بعدها محو محاولات الربط القديمة الفاشلة المتتالية من عداد الصعوبات

بعبارة أخرى، هذا هو عدد الثواني التي تتم إعادة ضبط محاولات تسجيل الدخول الفاشلة.

إذا تم ضبط pwdFailureCountInterval على 0، يمكن فقط للمصادقة الناجحة أن يعيد تعيين العدّاد.

في حال ضبط pwdFailureCountInterval على >0، تحدّد السمة مدة يتم بعدها إعادة ضبط عدد محاولات تسجيل الدخول المتعاقبة التي تنتهي بالفشل تلقائيًا، حتى إذا لم تحدث مصادقة ناجحة.

نقترح أن يتم تعيين هذه السمة إلى نفس قيمة pwdLockoutDuration.

 300 
pwdInHistory

الحد الأقصى لعدد كلمات المرور المستخدَمة أو السابقة الخاصة بالمستخدم والتي سيتم تخزينها في سمة pwdHistory

عند تغيير كلمة المرور، سيتم حظر المستخدم من تغييرها إلى أي من كلمات المرور السابقة.

 3 
pwdLockout

إذا كانت السمة TRUE، تحدّد على حظر المستخدم عند انتهاء صلاحية كلمة المرور حتى لا يتمكن المستخدم من تسجيل الدخول مرة أخرى.

 خطأ 
pwdLockoutDuration

عدد الثواني التي لا يمكن خلالها استخدام كلمة مرور لمصادقة المستخدم المستحق إلى عدد كبير جدًا من محاولات تسجيل الدخول المتتالية الفاشلة.

بعبارة أخرى، هذه هي المدة التي سيظل فيها حساب المستخدم مقفلاً بسبب تجاوز عدد محاولات تسجيل الدخول غير الناجحة المتتالية التي تم ضبطها من خلال سمة pwdMaxFailure.

في حال ضبط pwdLockoutDuration على 0، سيظل حساب المستخدم مقفلًا إلى أن يفتحه مشرف النظام.

اطّلِع على فتح قفل حساب مستخدم.

إذا pwdLockoutDuration على >0، فإن السمة تحدد المدة التي سيظل فيها حساب المستخدم مُقفل. عند انقضاء هذه الفترة الزمنية، سيتم تحويل حساب المستخدم تلقائيًا مفتوحًا.

نقترح أن يتم تعيين هذه السمة إلى نفس قيمة pwdFailureCountInterval.

 300 
pwdMaxAge

عدد الثواني التي تنتهي بعدها صلاحية كلمة مرور المستخدم (غير المسؤول عن نظام التشغيل). تعني القيمة 0 أنّ كلمات المرور لا تنتهي صلاحيتها. تتوافق القيمة الافتراضية 2592000 مع 30 يومًا من وقت إنشاء كلمة المرور.

المستخدم: 2592000

sysadmin: 0

 
pwdMaxFailure

عدد محاولات تسجيل الدخول الفاشلة المتتالية التي قد لا يتم بعدها استخدام كلمة مرور لمصادقة مستخدم على الدليل

 3 
pwdMinLength

يحدِّد الحد الأدنى لعدد الأحرف المطلوبة عند ضبط كلمة مرور.

 8

فتح قفل حساب مستخدم

قد يتم قفل حساب المستخدم بسبب السمات التي تم ضبطها في سياسة كلمات المرور. لنفترض أن هناك مستخدمًا يمكن لدور مسؤول إدارة النظم في Apigee استخدام طلب البيانات من واجهة برمجة التطبيقات التالي لفتح قفل الحساب. استبدال userEmail وadminEmail وpassword بالقيم الفعلية القيم.

لفتح قفل حساب مستخدم:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password