ניהול מדיניות ברירת המחדל של סיסמת LDAP לניהול ממשק API

מערכת Apigee משתמשת ב-OpenLDAP כדי לאמת משתמשים בסביבת ניהול ה-API. התכונה OpenLDAP הופכת את הפונקציונליות של מדיניות הסיסמאות של LDAP לזמינה.

בקטע הזה מוסבר איך להגדיר את מדיניות ברירת המחדל לסיסמה של LDAP. אפשר להשתמש במדיניות הסיסמה הזו כדי להגדיר אפשרויות שונות לאימות באמצעות סיסמה, כמו מספר ניסיונות הכניסה הכושלים ברציפות שאחריהן לא ניתן יותר להשתמש בסיסמה כדי לאמת משתמש בספרייה.

הקטע הזה גם מתאר איך להשתמש בכמה ממשקי API כדי לקבל גישה לחשבונות משתמשים נעולה בהתאם למאפיינים שהוגדרו במדיניות ברירת המחדל של הסיסמה.

מידע נוסף זמין במאמרים הבאים:

הגדרה של סיסמת ברירת המחדל של LDAP מדיניות

כדי להגדיר את מדיניות ברירת המחדל של סיסמאות LDAP:

  1. מתחברים לשרת ה-LDAP באמצעות לקוח LDAP, כמו Apache Studio או ldapmodify. על ידי שרת OpenLDAP שמוגדר כברירת מחדל מאזין ביציאה 10389 בצומת OpenLDAP.

    כדי להתחבר, צריך לציין את ה-bind DN או את המשתמש של cn=manager,dc=apigee,dc=com ואת פתיחת הסיסמה שנבחרה בזמן התקנת Edge.

  2. משתמשים בלקוח כדי לנווט למאפיינים של מדיניות הסיסמאות עבור:
    • משתמשי Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • אדמין של Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. עורכים את ערכי המאפיינים של המדיניות בנושא סיסמה לפי הצורך.
  4. שומרים את ההגדרה.

מאפייני ברירת המחדל של מדיניות הסיסמאות ב-LDAP

מאפיין תיאור ברירת מחדל 
pwdExpireWarning
 מספר השניות המקסימלי עד לפקיעת התוקף של הסיסמה הודעות אזהרה יוחזרו למשתמש שמאמת את הספרייה.

604800

(שווה ערך ל-7 ימים)

 
pwdFailureCountInterval

מספר השניות שאחריהן ניסיונות כושלים ישנים שנכשלו נמחקים באופן סופי מפני כשלים.

במילים אחרות, זהו מספר השניות שחולפות עד לאיפוס של ספירת ניסיונות ההתחברות הכושלים הרצופים.

אם הערך של pwdFailureCountInterval מוגדר כ-0, רק אימות מוצלח יכול לאפס את המונה.

אם הערך של pwdFailureCountInterval מוגדר ל->0, המאפיין מגדיר משך זמן שבסופו יתבצע איפוס אוטומטי של מספר הניסיונות הרצופים לכניסה שנכשלו, גם אם לא בוצע אימות מוצלח.

מומלץ להגדיר למאפיין הזה את אותו ערך שמוגדר למאפיין pwdLockoutDuration.

 300 
pwdInHistory

המספר המקסימלי של סיסמאות בשימוש או סיסמאות קודמות, שיישמרו מאפיין pwdHistory.

כשהמשתמשת תשנה את הסיסמה, היא לא תוכל לשנות אותה לאחת מהסיסמאות הקודמות שלה.

 3 
pwdLockout

אם הערך הוא TRUE, הערך מציין לנעול משתמש כשפג תוקף הסיסמה שלו, כך שהוא לא יכול יותר להתחבר.

 לא נכון 
pwdLockoutDuration

מספר השניות שבמהלכן לא ניתן להשתמש בסיסמה כדי לאמת את המשתמש, יותר מדי ניסיונות התחברות כושלים רצופים.

במילים אחרות, זהו משך הזמן שבו חשבון המשתמש יישאר נעול בגלל חריגה ממספר ניסיונות הכניסה הרצופים שנכשלו שהוגדרו על ידי המאפיין pwdMaxFailure.

אם הערך של pwdLockoutDuration מוגדר כ-0, חשבון המשתמש יישאר נעול עד שאדמין מערכת יפתח אותו.

ראו ביטול נעילה של חשבון משתמש.

אם pwdLockoutDuration מוגדר כ->0, המאפיין מגדיר משך זמן שבו חשבון המשתמש יישאר נעול. לאחר פרק הזמן הזה, חשבון המשתמש יוגדר אוטומטית לא נעול.

מומלץ להגדיר את המאפיין הזה עם אותו ערך כמו מאפיין pwdFailureCountInterval.

 300 
pwdMaxAge

מספר השניות שחולפות עד שתוקפה של סיסמת משתמש (לא אדמין) פג. הערך 0 כלומר, אין תאריך תפוגה של סיסמאות. ערך ברירת המחדל של 2592,000 תואם ל-30 ימים מ- השעה שבה נוצרה הסיסמה.

משתמש: 2592000

sysadmin: 0

 
pwdMaxFailure

מספר ניסיונות ההתחברות שנכשלו ולאחר מכן לא ניתן היה להשתמש בסיסמה כדי לאמת משתמש בספרייה.

 3 
pwdMinLength

מציינת את מספר התווים המינימלי שנדרש כשמגדירים סיסמה.

 8

ביטול נעילה של חשבון משתמש

יכול להיות שחשבון משתמש יינעל בגלל מאפיינים שהוגדרו במדיניות הסיסמה. משתמש עם תפקיד ה-sysadmin Apigee יכול להשתמש בקריאה הבאה ל-API כדי לבטל את הנעילה של חשבון. מחליפים את userEmail, adminEmail ו-password בערכים עצמם ערכים.

כדי לבטל את הנעילה של משתמש:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password