Diese Seite wurde von der Cloud Translation API übersetzt.

Standardmäßige LDAP-Passwortrichtlinie für die API-Verwaltung

Das Apigee-System verwendet OpenLDAP, um Nutzer in Ihrer API-Verwaltungsumgebung zu authentifizieren. OpenLDAP stellt diese Funktionalität der LDAP-Passwortrichtlinie zur Verfügung.

In diesem Abschnitt wird beschrieben, wie Sie die bereitgestellte Standard-LDAP-Passwortrichtlinie konfigurieren. Mit dieser Passwortrichtlinie können Sie verschiedene Optionen für die Passwortauthentifizierung konfigurieren, z. B. die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche, nach denen ein Passwort nicht mehr zur Authentifizierung eines Nutzers im Verzeichnis verwendet werden kann.

In diesem Abschnitt wird auch beschrieben, wie Sie mithilfe einiger APIs Nutzerkonten entsperren, die gemäß den in der Standardpasswortrichtlinie konfigurierten Attributen gesperrt wurden.

Weitere Informationen finden Sie unter:

Konfigurieren des Standard-LDAP-Passworts Richtlinie

So konfigurieren Sie die Standard-LDAP-Passwortrichtlinie:

Stellen Sie mithilfe eines LDAP-Clients wie Apache Studio oder ldapmodify eine Verbindung zu Ihrem LDAP-Server her. Standardmäßig überwacht der OpenLDAP-Server Port 10389 auf dem OpenLDAP-Knoten.
Geben Sie zum Herstellen einer Verbindung den Bind-DN oder Nutzer von cn=manager,dc=apigee,dc=com und das OpenLDAP-Passwort an, das Sie bei der Edge-Installation festgelegt haben.
Verwenden Sie den Client, um die Passwortrichtlinienattribute für Folgendes aufzurufen:
- Edge-Nutzer: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Edge-Administrator: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
Bearbeiten Sie die Attributwerte der Passwortrichtlinie nach Bedarf.
Speichern Sie die Konfiguration.

Attribute der LDAP-Standardpasswortrichtlinie

Attribut	Beschreibung	Standard
pwdExpireWarning	Die maximale Anzahl von Sekunden, bevor ein Passwort abläuft. Warnungen werden an einen Nutzer zurückgegeben, der sich beim Verzeichnis authentifiziert.	604800 (entspricht 7 Tagen)
pwdFailureCountInterval	Anzahl der Sekunden, nach denen alte aufeinanderfolgende fehlgeschlagene Bindungsversuche aus dem Fehlerzähler gelöscht werden. Das ist die Anzahl der Sekunden, nach denen die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche zurückgesetzt wird. Wenn `pwdFailureCountInterval` auf 0 gesetzt ist, nur eine erfolgreiche Authentifizierung kann den Zähler zurücksetzen. Wenn `pwdFailureCountInterval` auf > 0 festgelegt ist, definiert das Attribut eine Dauer, nach der die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche automatisch zurückgesetzt wird, auch wenn keine erfolgreiche Authentifizierung stattgefunden hat. Es wird empfohlen, für dieses Attribut denselben Wert wie für das Attribut Attribut „`pwdLockoutDuration`“.	300
pwdInHistory	Maximale Anzahl der verwendeten oder vergangenen Passwörter für einen Nutzer, die im Attribut „`pwdHistory`“. Wenn der Nutzer sein Passwort ändert, kann er es nicht in eines ihrer eigenen ändern frühere Passwörter verwenden.	3
pwdLockout	Wenn `TRUE` festgelegt ist, wird ein Nutzer gesperrt, wenn sein Passwort abläuft, sodass er sich nicht mehr anmelden kann.	Falsch
pwdLockoutDuration	Die Anzahl der Sekunden, während derer ein Passwort aufgrund zu vieler aufeinanderfolgender fehlgeschlagener Anmeldeversuche nicht zur Authentifizierung des Nutzers verwendet werden kann. Mit anderen Worten: Dies ist die Zeitspanne, während der ein Nutzerkonto gesperrt bleibt, weil die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche überschritten wurde, die mit dem Attribut `pwdMaxFailure` festgelegt wurde. Wenn `pwdLockoutDuration` auf „0“ gesetzt ist, bleibt das Nutzerkonto gesperrt, bis ein Systemadministrator es entsperrt. Weitere Informationen finden Sie im Hilfeartikel Nutzerkonto entsperren. Wenn `pwdLockoutDuration` auf einen Wert größer als 0 gesetzt ist, definiert das Attribut eine Dauer, für die das Nutzerkonto gesperrt bleibt. Nach Ablauf dieses Zeitraums wird das Nutzerkonto automatisch entsperrt. Wir empfehlen, für dieses Attribut denselben Wert wie für das Attribut `pwdFailureCountInterval` festzulegen.	300
pwdMaxAge	Anzahl der Sekunden, nach denen das Passwort eines Nutzers (kein Systemadministrator) abläuft. Ein Wert von 0 bedeutet, dass Passwörter nicht ablaufen. Der Standardwert von 2592.000 entspricht 30 Tagen Zeitpunkt der Passworterstellung.	user: 2592000 sysadmin: 0
pwdMaxFailure	Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche, nach denen kein Passwort mehr verwendet werden darf. einen Nutzer beim Verzeichnis zu authentifizieren.	3
pwdMinLength	Gibt die Mindestanzahl von Zeichen an, die beim Festlegen eines Passworts erforderlich ist.	8

Nutzerkonto entsperren

Das Konto eines Nutzers kann aufgrund von Attributen, die in der Passwortrichtlinie festgelegt sind, gesperrt sein. Ein Nutzer mit kann die zugewiesene Apigee-Rolle „sysadmin“ mit dem folgenden API-Aufruf die Berechtigung des Nutzers entsperren Konto. Ersetzen Sie userEmail, adminEmail und password durch den tatsächlichen Wert Werte.

So entsperren Sie einen Nutzer:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password

Hinweis:Damit nur Systemadministratoren diese API aufrufen können, muss der Parameter Pfad /users/*/status ist enthalten in conf_security_rbac.restricted.resources-Eigenschaft für den Verwaltungsserver fest:

cd /opt/apigee/edge-management-server

grep -ri "conf_security_rbac.restricted.resources" *

Die Ausgabe enthält Folgendes:

token/default.properties:conf_security_rbac.restricted.resources=/environments,/environments/*,/environments/*/virtualhosts,/environments/*/virtualhosts/*,/pods,/environments/*/servers,/rebuildindex,/users/*/status