Mengelola kebijakan sandi LDAP default untuk pengelolaan API

Sistem Apigee menggunakan OpenLDAP untuk mengautentikasi pengguna di lingkungan pengelolaan API Anda. OpenLDAP menyediakan fungsi kebijakan sandi LDAP ini.

Bagian ini menjelaskan cara mengonfigurasi kebijakan sandi LDAP default yang dikirimkan. Gunakan ini kebijakan {i>password<i} untuk mengonfigurasi berbagai opsi otentikasi {i>password<i}, seperti jumlah upaya masuk gagal berturut-turut setelah itu {i>password<i} tidak lagi dapat digunakan untuk mengotentikasi pengguna ke direktori.

Bagian ini juga menjelaskan cara menggunakan beberapa API untuk mengakses akun pengguna yang telah dikunci sesuai dengan atribut yang dikonfigurasi dalam kebijakan {i>password<i} {i>default<i}.

Untuk informasi tambahan, lihat:

Mengonfigurasi Kebijakan Sandi LDAP Default

Untuk mengonfigurasi kebijakan sandi LDAP default:

  1. Hubungkan ke server LDAP menggunakan klien LDAP, seperti Apache Studio atau ldapmodify. Secara default, server OpenLDAP memproses port 10389 di node OpenLDAP.

    Untuk menghubungkan, tentukan Bind DN atau pengguna cn=manager,dc=apigee,dc=com dan Sandi OpenLDAP yang Anda setel pada saat penginstalan Edge.

  2. Gunakan klien untuk membuka atribut kebijakan sandi untuk:
    • Pengguna edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Admin sistem edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. Edit nilai atribut kebijakan sandi sesuai keinginan.
  4. Simpan konfigurasi.

Atribut Kebijakan Sandi LDAP Default

Atribut Deskripsi Default
pwdExpireWarning
Jumlah detik maksimum sebelum masa berlaku sandi berakhir sehingga pesan peringatan masa berlaku akan ditampilkan kepada pengguna yang mengautentikasi ke direktori.

604800

(Setara dengan 7 hari)

pwdFailureCountInterval

Jumlah detik setelah upaya pengikatan lama yang gagal secara berurutan dihapus dari penghitung kegagalan.

Dengan kata lain, ini adalah jumlah detik setelahnya hitungan berturut-turut upaya masuk yang gagal direset.

Jika pwdFailureCountInterval disetel ke 0, hanya otentikasi yang berhasil yang dapat mengatur ulang penghitung.

Jika pwdFailureCountInterval disetel ke >0, atribut menentukan durasi sebelum jumlah login gagal secara berturut-turut percobaan akan diatur ulang secara otomatis, walaupun tidak terjadi otentikasi yang berhasil.

Sebaiknya atribut ini ditetapkan ke nilai yang sama dengan Atribut pwdLockoutDuration.

300
pwdInHistory

Jumlah maksimum sandi yang telah digunakan atau sudah pernah digunakan untuk pengguna yang akan disimpan di Atribut pwdHistory.

Saat mengubah sandinya, pengguna akan diblokir agar tidak mengubahnya ke salah satu sandi sebelumnya.

3
pwdLockout

Jika TRUE, menentukan untuk mengunci pengguna saat sandinya habis masa berlakunya sehingga pengguna tidak dapat lagi login.

Salah
pwdLockoutDuration

Jumlah detik saat sandi tidak dapat digunakan untuk mengautentikasi pengguna karena terlalu banyak upaya login yang gagal secara berurutan.

Dengan kata lain, ini adalah durasi waktu selama akun pengguna akan tetap terkunci karena melebihi jumlah percobaan login berturut-turut yang gagal yang ditetapkan oleh atribut pwdMaxFailure.

Jika pwdLockoutDuration disetel ke 0, akun pengguna akan tetap terkunci hingga administrator sistem membuka kuncinya.

Lihat Membuka kunci akun pengguna.

Jika pwdLockoutDuration disetel ke >0, atribut ini menentukan durasi akun pengguna akan tetap terkunci. Setelah jangka waktu ini berlalu, akun pengguna akan otomatis dibuka kuncinya.

Sebaiknya atribut ini ditetapkan ke nilai yang sama dengan Atribut pwdFailureCountInterval.

300
pwdMaxAge

Jumlah detik saat sandi pengguna (non-sysadmin) habis masa berlakunya. Nilai 0 berarti masa berlaku sandi tidak habis. Nilai default 2592000 setara dengan 30 hari dari seperti saat {i>password<i} dibuat.

pengguna: 2592000

sysadmin: 0

pwdMaxFailure

Jumlah upaya login yang gagal secara berturut-turut setelah sandi tidak dapat digunakan untuk mengotentikasi pengguna ke direktori tersebut.

3
pwdMinLength

Menentukan jumlah karakter minimum yang diperlukan saat menetapkan sandi.

8

Membuka Kunci Akun Pengguna

Akun pengguna mungkin dikunci karena atribut yang ditetapkan dalam kebijakan sandi. Pengguna dengan peran sysadmin Apigee yang ditetapkan dapat menggunakan panggilan API berikut untuk membuka kunci akun pengguna. Ganti userEmail, adminEmail, dan password dengan nilai sebenarnya.

Untuk membuka akses ke pengguna:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password