Diese Seite wurde von der Cloud Translation API übersetzt.

Standardmäßige LDAP-Passwortrichtlinie für die API-Verwaltung

Das Apigee-System verwendet SymasLDAP, um Nutzer in Ihrer API-Verwaltungsumgebung zu authentifizieren. SymasLDAP stellt diese LDAP-Passwortrichtlinienfunktion zur Verfügung.

In diesem Abschnitt wird beschrieben, wie Sie die bereitgestellte Standard-LDAP-Passwortrichtlinie konfigurieren. Mit dieser Passwortrichtlinie können Sie verschiedene Optionen für die Passwortauthentifizierung konfigurieren, z. B. die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche, nach denen ein Passwort nicht mehr zur Authentifizierung eines Nutzers im Verzeichnis verwendet werden kann.

In diesem Abschnitt wird auch beschrieben, wie Sie mit einigen APIs Nutzerkonten entsperren, die gemäß den Attributen gesperrt wurden, die in der Standardrichtlinie für Passwörter konfiguriert sind.

Weitere Informationen finden Sie unter:

Standard-LDAP-Passwortrichtlinie konfigurieren

So konfigurieren Sie die Standard-LDAP-Passwortrichtlinie:

Stellen Sie mit einem LDAP-Client wie Apache Studio oder ldapmodify eine Verbindung zu Ihrem LDAP-Server her. Standardmäßig überwacht der SymasLDAP-Server Port 10389 auf dem SymasLDAP-Knoten.
Geben Sie zum Herstellen einer Verbindung den Bind-DN oder den Nutzer von cn=manager,dc=apigee,dc=com und das SymasLDAP-Passwort an, das Sie bei der Edge-Installation festgelegt haben.
Verwenden Sie den Client, um zu den Attributen der Passwortrichtlinie für Folgendes zu navigieren:
- Edge-Nutzer: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Edge-Systemadministrator: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
Bearbeiten Sie die Attributwerte der Passwortrichtlinie nach Bedarf.
Speichern Sie die Konfiguration.

Standardattribute für LDAP-Passwortrichtlinien

Attribut	Beschreibung	Standard
pwdExpireWarning	Die maximale Anzahl von Sekunden, bevor ein Passwort abläuft, für die Ablaufwarnmeldungen an einen Nutzer zurückgegeben werden, der sich im Verzeichnis authentifiziert.	604800 (Entspricht 7 Tagen)
pwdFailureCountInterval	Anzahl der Sekunden, nach denen alte aufeinanderfolgende fehlgeschlagene Bindungsversuche aus dem Fehlerzähler gelöscht werden. Mit anderen Worten: Dies ist die Anzahl der Sekunden, nach denen die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche zurückgesetzt wird. Wenn `pwdFailureCountInterval` auf 0 gesetzt ist, kann der Zähler nur durch eine erfolgreiche Authentifizierung zurückgesetzt werden. Wenn `pwdFailureCountInterval` auf >0 gesetzt ist, wird mit dem Attribut ein Zeitraum definiert, nach dem die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche automatisch zurückgesetzt wird, auch wenn keine erfolgreiche Authentifizierung stattgefunden hat. Wir empfehlen, dieses Attribut auf denselben Wert wie das Attribut `pwdLockoutDuration` festzulegen.	300
pwdInHistory	Maximale Anzahl der verwendeten oder früheren Passwörter für einen Nutzer, die im Attribut `pwdHistory` gespeichert werden. Wenn die Nutzerin ihr Passwort ändert, kann sie es nicht in eines ihrer bisherigen Passwörter ändern.	3
pwdLockout	Wenn `TRUE`, wird ein Nutzer gesperrt, wenn sein Passwort abläuft, sodass er sich nicht mehr anmelden kann.	Falsch
pwdLockoutDuration	Anzahl der Sekunden, in denen ein Passwort nicht zur Authentifizierung des Nutzers verwendet werden kann, weil es zu viele aufeinanderfolgende fehlgeschlagene Anmeldeversuche gab. Mit anderen Worten: Dies ist die Zeitspanne, in der ein Nutzerkonto gesperrt bleibt, weil die Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche überschritten wurde, die durch das Attribut `pwdMaxFailure` festgelegt ist. Wenn `pwdLockoutDuration` auf 0 gesetzt ist, bleibt das Nutzerkonto gesperrt, bis ein Systemadministrator es entsperrt. Weitere Informationen finden Sie unter Nutzerkonto entsperren. Wenn `pwdLockoutDuration` auf >0 gesetzt ist, wird mit dem Attribut ein Zeitraum definiert, in dem das Nutzerkonto gesperrt bleibt. Nach Ablauf dieses Zeitraums wird das Nutzerkonto automatisch entsperrt. Wir empfehlen, dieses Attribut auf denselben Wert wie das Attribut `pwdFailureCountInterval` festzulegen.	300
pwdMaxAge	Anzahl der Sekunden, nach denen das Passwort eines Nutzers (kein Systemadministrator) abläuft. Der Wert 0 bedeutet, dass Passwörter nicht ablaufen. Der Standardwert von 2592000 entspricht 30 Tagen ab dem Zeitpunkt, zu dem das Passwort erstellt wurde.	user: 2592000 sysadmin: 0
pwdMaxFailure	Anzahl der aufeinanderfolgenden fehlgeschlagenen Anmeldeversuche, nach denen ein Passwort nicht mehr zur Authentifizierung eines Nutzers im Verzeichnis verwendet werden darf.	3
pwdMinLength	Gibt die Mindestanzahl an Zeichen an, die beim Festlegen eines Passworts erforderlich sind.	8

Nutzerkonto entsperren

Das Konto eines Nutzers kann aufgrund von Attributen gesperrt werden, die in der Passwortrichtlinie festgelegt sind. Einem Nutzer mit der Apigee-Rolle „sysadmin“ kann mit dem folgenden API-Aufruf das Konto entsperrt werden. Ersetzen Sie userEmail, adminEmail und password durch tatsächliche Werte.

So entsperren Sie einen Nutzer:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password

Hinweis:Damit nur Systemadministratoren diese API aufrufen können, ist der Pfad /users/*/status in der Eigenschaft conf_security_rbac.restricted.resources für den Verwaltungsserver enthalten:

cd /opt/apigee/edge-management-server

grep -ri "conf_security_rbac.restricted.resources" *

Die Ausgabe enthält Folgendes:

token/default.properties:conf_security_rbac.restricted.resources=/environments,/environments/*,/environments/*/virtualhosts,/environments/*/virtualhosts/*,/pods,/environments/*/servers,/rebuildindex,/users/*/status