System Apigee używa OpenLDAP do uwierzytelniania użytkowników w środowisku zarządzania interfejsami API. OpenLDAP udostępnia tę funkcję zasad dotyczących haseł LDAP.
Z tej sekcji dowiesz się, jak skonfigurować domyślną regułę hasła LDAP. Za pomocą tej zasady dotyczącej haseł możesz skonfigurować różne opcje uwierzytelniania za pomocą hasła, takie jak liczba kolejnych nieudanych prób zalogowania, po której nie można już używać hasła do uwierzytelniania użytkownika w katalogu.
W tej sekcji opisujemy też, jak przy użyciu interfejsów API odblokowywać konta użytkowników, które zostały jest zablokowana zgodnie z atrybutami skonfigurowanymi w domyślnych zasadach dotyczących haseł.
Więcej informacji:
Konfigurowanie domyślnej zasady dotyczącej hasła LDAP
Aby skonfigurować domyślną zasadę dotyczącą haseł LDAP:
- Połącz się z serwerem LDAP przy użyciu klienta LDAP, takiego jak Apache Studio lub ldapmodify. Według
domyślny serwer OpenLDAP nasłuchuje na porcie 10389 w węźle OpenLDAP.
Aby nawiązać połączenie, podaj nazwę wyróżniającą (DN) lub użytkownika domeny
cn=manager,dc=apigee,dc=comoraz Hasło OpenLDAP ustawione podczas instalacji Edge. - Za pomocą klienta przejdź do atrybutów zasad dotyczących haseł dla:
- Użytkownicy Edge:
cn=default,ou=pwpolicies,dc=apigee,dc=com - Administrator systemu Edge:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Użytkownicy Edge:
- W razie potrzeby zmień wartości atrybutów zasad dotyczących haseł.
- Zapisz konfigurację.
Domyślne atrybuty zasad LDAP dotyczących haseł
| Atrybut | Opis | Domyślny |
|---|---|---|
pwdExpireWarning |
Maksymalny czas wygaśnięcia hasła w sekundach użytkownikom, którzy uwierzytelniają się w katalogu, zwracane są komunikaty ostrzegawcze. |
604800 (Odpowiednik 7 dni). |
pwdFailureCountInterval |
Liczba sekund, po których stare nieudane próby połączenia są usuwane z licznika niepowodzeń. Innymi słowy, jest to liczba sekund, po których następuje liczba kolejnych nieudane próby logowania są resetowane. Jeśli Jeśli wartość atrybutu Zalecamy, aby ten atrybut miał taką samą wartość jak atrybut |
300 |
pwdInHistory |
Maksymalna liczba używanych lub wcześniejszych haseł użytkownika, które będą przechowywane w
Gdy użytkownik zmieni swoje hasło, nie będzie mógł go zmienić na dowolne swoje wcześniejszych haseł. |
3 |
pwdLockout |
Jeśli |
Fałsz |
pwdLockoutDuration |
Liczba sekund, przez które nie można było użyć hasła do uwierzytelnienia użytkownika. zbyt wiele kolejnych nieudanych prób logowania. Inaczej mówiąc, jest to czas, przez który konto użytkownika będzie zablokowane z powodu przekroczenia liczby kolejnych nieudanych prób logowania ustawionej przez atrybut Jeśli wartość Zobacz Odblokowanie konta użytkownika. Jeśli wartość atrybutu Zalecamy, aby ten atrybut miał taką samą wartość jak atrybut |
300 |
pwdMaxAge |
Liczba sekund, po której hasło użytkownika (nie administratora) wygasa. Wartość 0 oznacza, że hasła nie wygasają. Wartość domyślna (2592 000) odpowiada 30 dniom od podczas tworzenia hasła. |
user: 2592000 sysadmin: 0 |
pwdMaxFailure |
Liczba kolejnych nieudanych prób logowania, po których hasło nie może być użyte do uwierzytelnienia użytkownika w katalogu. |
3 |
pwdMinLength |
Określa minimalną liczbę znaków wymaganą podczas ustawiania hasła. |
8 |
Odblokowywanie konta użytkownika
Konto użytkownika może zostać zablokowane z powodu atrybutów ustawionych w zasadach dotyczących haseł. Użytkownik z przypisaną rolą sysadmin w Apigee może użyć tego wywołania interfejsu API, aby odblokować swoje konto. Zastąp wartości userEmail, adminEmail i password rzeczywistymi wartościami.
Aby odblokować użytkownika:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password