Cette page a été traduite par l'API Cloud Translation.

Gestion de la règle de mot de passe LDAP par défaut pour la gestion des API

Le système Apigee utilise OpenLDAP pour authentifier les utilisateurs dans votre environnement de gestion d'API. OpenLDAP rend cette fonctionnalité de règle de mot de passe LDAP disponible.

Cette section explique comment configurer la règle de mot de passe LDAP par défaut. Utilisez cette règle de mot de passe pour configurer diverses options d'authentification par mot de passe, telles que le nombre de tentatives de connexion infructueuses consécutives au bout duquel un mot de passe ne peut plus être utilisé pour authentifier un utilisateur dans le répertoire.

Cette section explique également comment utiliser quelques API pour déverrouiller des comptes utilisateur qui ont été verrouillés en fonction des attributs configurés dans la stratégie de mot de passe par défaut.

Pour en savoir plus, consultez les pages suivantes :

Configuration du mot de passe LDAP par défaut Règles

Pour configurer la stratégie de mot de passe LDAP par défaut :

Connectez-vous à votre serveur LDAP à l'aide d'un client LDAP, tel qu'Apache Studio ou ldapmodify. Par défaut, le serveur OpenLDAP écoute sur le port 10389 sur le nœud OpenLDAP.
Pour vous connecter, spécifiez le DN de liaison ou l'utilisateur de cn=manager,dc=apigee,dc=com et le mot de passe OpenLDAP que vous avez défini au moment de l'installation d'Edge.
Utilisez le client pour accéder aux attributs des règles relatives aux mots de passe pour les éléments suivants:
- Utilisateurs Edge : cn=default,ou=pwpolicies,dc=apigee,dc=com
- Administrateur système Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
Modifiez les valeurs des attributs de la règle des mots de passe selon vos besoins.
Enregistrez la configuration.

Attributs de stratégie de mot de passe LDAP par défaut

Attribut	Description	Par défaut
pwdExpireWarning	Nombre maximal de secondes avant l'expiration d'un mot de passe pendant lesquelles des messages d'avertissement d'expiration seront renvoyés à un utilisateur qui s'authentifie auprès du répertoire.	604800 (équivalent à sept jours)
pwdFailureCountInterval	Nombre de secondes au terme desquelles les anciennes tentatives de liaison consécutives ayant échoué sont supprimées définitivement du le compteur d'échecs. En d'autres termes, il s'agit du nombre de secondes au terme desquelles le nombre tentatives de connexion infructueuses sont réinitialisées. Si `pwdFailureCountInterval` est défini sur 0, seule une authentification réussie peut réinitialiser le compteur. Si `pwdFailureCountInterval` est défini sur >0, l'attribut définit la durée après laquelle le nombre d'échecs de connexion consécutifs est atteint. est réinitialisée, même si aucune authentification n'a abouti. Nous vous suggérons de définir ce paramètre sur la même valeur que l'attribut `pwdLockoutDuration`.	300
pwdInHistory	Nombre maximal de mots de passe utilisés ou passés d'un utilisateur qui seront stockés dans l'attribut `pwdHistory`. Lorsqu'elle modifie son mot de passe, l'utilisateur ne peut pas le remplacer par l'un de ses anciens mots de passe.	3
pwdLockout	Si `TRUE`, spécifie de verrouiller un utilisateur lorsque son mot de passe expire afin qu'il ne puisse plus se connecter.	Faux
pwdLockoutDuration	Nombre de secondes pendant lesquelles un mot de passe ne peut pas être utilisé pour authentifier l'utilisateur en raison d'un trop grand nombre de tentatives de connexion infructueuses consécutives. En d'autres termes, il s'agit de la durée pendant laquelle un compte utilisateur verrouillé en raison du dépassement du nombre de tentatives de connexion infructueuses consécutives `pwdMaxFailure`. Si `pwdLockoutDuration` est défini sur 0, le compte utilisateur reste verrouillé jusqu'à ce qu'un administrateur système le déverrouille. Consultez Déverrouiller un compte utilisateur. Si `pwdLockoutDuration` est définie sur >0, l'attribut définit la durée pendant laquelle le compte utilisateur verrouillé. Une fois cette période écoulée, le compte utilisateur sera automatiquement déverrouillée. Nous vous suggérons de définir cette valeur sur la même valeur que celle de l'attribut `pwdFailureCountInterval`.	300
pwdMaxAge	Nombre de secondes après l'expiration du mot de passe d'un utilisateur (autre qu'un administrateur système). Une valeur de 0 les mots de passe n'expirent pas. La valeur par défaut de 2592000 correspond à 30 jours à compter du l’heure à laquelle le mot de passe a été créé.	utilisateur: 2592000 sysadmin: 0
pwdMaxFailure	Nombre de tentatives de connexion infructueuses consécutives à l'issue desquelles un mot de passe ne peut pas être utilisé pour authentifier un utilisateur dans l’annuaire.	3
pwdMinLength	Indique le nombre minimal de caractères requis lors de la définition d'un mot de passe.	8

Déverrouiller un compte utilisateur

Le compte d'un utilisateur peut être verrouillé en raison d'attributs définis dans la règle relative aux mots de passe. Un utilisateur disposant du rôle Apigee "administrateur système" peut utiliser l'appel d'API suivant pour déverrouiller son compte. Remplacez userEmail, adminEmail et password par les valeurs réelles.

Pour déverrouiller un utilisateur :

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password

Remarque : Pour s'assurer que seuls les administrateurs système peuvent appeler cette API, le chemin d'accès /users/*/status est inclus dans la propriété conf_security_rbac.restricted.resources du serveur de gestion :

cd /opt/apigee/edge-management-server

grep -ri "conf_security_rbac.restricted.resources" *

Le résultat contient les éléments suivants :

token/default.properties:conf_security_rbac.restricted.resources=/environments,/environments/*,/environments/*/virtualhosts,/environments/*/virtualhosts/*,/pods,/environments/*/servers,/rebuildindex,/users/*/status