Cómo administrar la política de contraseñas LDAP predeterminada para la administración de API

El sistema de Apigee usa SymasLDAP para autenticar a los usuarios en tu entorno de administración de APIs. SymasLDAP hace que esta funcionalidad de política de contraseñas de LDAP esté disponible.

En esta sección, se describe cómo configurar la política de contraseñas LDAP predeterminada que se entrega. Usa esta política de contraseñas para configurar varias opciones de autenticación con contraseña, como la cantidad de intentos de acceso fallidos consecutivos después de los cuales ya no se puede usar una contraseña para autenticar a un usuario en el directorio.

En esta sección, también se describe cómo usar algunas APIs para desbloquear cuentas de usuario que se bloquearon según los atributos configurados en la política de contraseñas predeterminada.

Para obtener información adicional, consulta:

Cómo configurar la política de contraseñas predeterminada de LDAP

Para configurar la política de contraseñas predeterminada de LDAP, haz lo siguiente:

  1. Conéctate a tu servidor LDAP con un cliente LDAP, como Apache Studio o ldapmodify. De forma predeterminada, el servidor de SymasLDAP escucha en el puerto 10389 del nodo de SymasLDAP.

    Para conectarte, especifica el DN de vinculación o el usuario de cn=manager,dc=apigee,dc=com y la contraseña de SymasLDAP que estableciste en el momento de la instalación de Edge.

  2. Usa el cliente para navegar a los atributos de la política de contraseñas para:
    • Usuarios de Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Administrador del sistema de Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. Edita los valores de los atributos de la política de contraseñas como desees.
  4. Guarde la configuración.

Atributos predeterminados de la política de contraseñas de LDAP

Atributo Descripción Predeterminada
pwdExpireWarning
Es la cantidad máxima de segundos antes de que venza una contraseña en la que se mostrarán mensajes de advertencia de vencimiento a un usuario que se autentique en el directorio.

604800

(Equivalente a 7 días)

pwdFailureCountInterval

Cantidad de segundos después de los cuales se borran del contador de errores los intentos de vinculación fallidos consecutivos antiguos.

En otras palabras, esta es la cantidad de segundos después de los cuales se restablece el recuento de intentos de acceso fallidos consecutivos.

Si pwdFailureCountInterval se establece en 0, solo una autenticación exitosa puede restablecer el contador.

Si pwdFailureCountInterval se establece en >0, el atributo define una duración después de la cual se restablece automáticamente el recuento de intentos de acceso fallidos consecutivos, incluso si no se produjo ninguna autenticación exitosa.

Sugerimos que este atributo se establezca en el mismo valor que el atributo pwdLockoutDuration.

300
pwdInHistory

Cantidad máxima de contraseñas usadas o anteriores de un usuario que se almacenarán en el atributo pwdHistory.

Cuando cambie su contraseña, se le impedirá cambiarla por cualquiera de sus contraseñas anteriores.

3
pwdLockout

Si es TRUE, especifica que se bloquee a un usuario cuando venza su contraseña para que ya no pueda acceder.

Falso
pwdLockoutDuration

Cantidad de segundos durante los que no se puede usar una contraseña para autenticar al usuario debido a demasiados intentos de acceso fallidos consecutivos.

En otras palabras, es el período durante el cual una cuenta de usuario permanecerá bloqueada por exceder la cantidad de intentos de acceso fallidos consecutivos establecidos por el atributo pwdMaxFailure.

Si pwdLockoutDuration se establece en 0, la cuenta de usuario permanecerá bloqueada hasta que un administrador del sistema la desbloquee.

Consulta Cómo desbloquear una cuenta de usuario.

Si pwdLockoutDuration se establece en >0, el atributo define una duración durante la cual la cuenta del usuario permanecerá bloqueada. Cuando transcurra este período, la cuenta de usuario se desbloqueará automáticamente.

Sugerimos que este atributo se establezca en el mismo valor que el atributo pwdFailureCountInterval.

300
pwdMaxAge

Cantidad de segundos después de los cuales vence la contraseña de un usuario (no administrador del sistema). Un valor de 0 significa que las contraseñas no vencen. El valor predeterminado de 2592000 corresponde a 30 días a partir de la fecha y hora en que se creó la contraseña.

usuario: 2592000

sysadmin: 0

pwdMaxFailure

Cantidad de intentos de acceso fallidos consecutivos después de los cuales no se puede usar una contraseña para autenticar a un usuario en el directorio.

3
pwdMinLength

Especifica la cantidad mínima de caracteres requeridos cuando se establece una contraseña.

8

Cómo desbloquear una cuenta de usuario

Es posible que se bloquee la cuenta de un usuario debido a los atributos establecidos en la política de contraseñas. Un usuario con el rol de sysadmin de Apigee asignado puede usar la siguiente llamada a la API para desbloquear la cuenta del usuario. Reemplaza userEmail, adminEmail y password por valores reales.

Para desbloquear a un usuario, haz lo siguiente:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password