Cette page a été traduite par l'API Cloud Translation.

Gestion de la règle de mot de passe LDAP par défaut pour la gestion des API

Le système Apigee utilise SymasLDAP pour authentifier les utilisateurs dans votre environnement de gestion des API. SymasLDAP rend cette fonctionnalité de règle de mot de passe LDAP disponible.

Cette section explique comment configurer la règle de mot de passe LDAP par défaut fournie. Utilisez cette règle de mot de passe pour configurer différentes options d'authentification par mot de passe, comme le nombre de tentatives de connexion infructueuses consécutives au-delà duquel un mot de passe ne peut plus être utilisé pour authentifier un utilisateur auprès du répertoire.

Cette section explique également comment utiliser quelques API pour déverrouiller les comptes utilisateur qui ont été verrouillés en fonction des attributs configurés dans la règle de mot de passe par défaut.

Pour en savoir plus, consultez les pages suivantes :

Configurer la règle de mot de passe LDAP par défaut

Pour configurer la règle par défaut relative aux mots de passe LDAP :

Connectez-vous à votre serveur LDAP à l'aide d'un client LDAP, comme Apache Studio ou ldapmodify. Par défaut, le serveur SymasLDAP écoute sur le port 10389 du nœud SymasLDAP.
Pour vous connecter, spécifiez le nom unique de liaison ou l'utilisateur de cn=manager,dc=apigee,dc=com, ainsi que le mot de passe SymasLDAP que vous avez défini lors de l'installation d'Edge.
Utilisez le client pour accéder aux attributs de la règle relative aux mots de passe pour :
- Utilisateurs Edge : cn=default,ou=pwpolicies,dc=apigee,dc=com
- Administrateur système Edge : cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
Modifiez les valeurs des attributs de la règle relative aux mots de passe selon vos besoins.
Enregistrez la configuration.

Attributs de la règle de mot de passe LDAP par défaut

Attribut	Description	Par défaut
pwdExpireWarning	Nombre maximal de secondes avant l'expiration d'un mot de passe au-delà duquel des messages d'avertissement d'expiration seront renvoyés à un utilisateur qui s'authentifie auprès du répertoire.	604800 (équivalent à sept jours)
pwdFailureCountInterval	Nombre de secondes après lesquelles les anciennes tentatives de liaison consécutives ayant échoué sont supprimées du compteur d'échecs. En d'autres termes, il s'agit du nombre de secondes après lequel le nombre de tentatives de connexion infructueuses consécutives est réinitialisé. Si `pwdFailureCountInterval` est défini sur 0, seule une authentification réussie peut réinitialiser le compteur. Si `pwdFailureCountInterval` est défini sur >0, l'attribut définit une durée après laquelle le nombre de tentatives de connexion consécutives ayant échoué est automatiquement réinitialisé, même si aucune authentification réussie n'a eu lieu. Nous vous suggérons de définir cet attribut sur la même valeur que l'attribut `pwdLockoutDuration`.	300
pwdInHistory	Nombre maximal de mots de passe utilisés ou anciens pour un utilisateur qui seront stockés dans l'attribut `pwdHistory`. Lorsqu'elle modifiera son mot de passe, elle ne pourra pas le remplacer par l'un de ses mots de passe précédents.	3
pwdLockout	Si la valeur est `TRUE`, l'utilisateur est bloqué lorsque son mot de passe expire et ne peut plus se connecter.	Faux
pwdLockoutDuration	Nombre de secondes pendant lesquelles un mot de passe ne peut pas être utilisé pour authentifier l'utilisateur en raison d'un trop grand nombre de tentatives de connexion consécutives infructueuses. En d'autres termes, il s'agit de la durée pendant laquelle un compte utilisateur restera verrouillé en raison du dépassement du nombre de tentatives de connexion consécutives infructueuses défini par l'attribut `pwdMaxFailure`. Si `pwdLockoutDuration` est défini sur 0, le compte utilisateur restera verrouillé jusqu'à ce qu'un administrateur système le déverrouille. Pour en savoir plus, consultez Déverrouiller un compte utilisateur. Si `pwdLockoutDuration` est défini sur une valeur supérieure à 0, l'attribut définit une durée pendant laquelle le compte utilisateur restera verrouillé. Une fois ce délai écoulé, le compte utilisateur sera automatiquement déverrouillé. Nous vous suggérons de définir cet attribut sur la même valeur que l'attribut `pwdFailureCountInterval`.	300
pwdMaxAge	Nombre de secondes après lesquelles le mot de passe d'un utilisateur (non administrateur système) expire. Une valeur de 0 signifie que les mots de passe n'expirent pas. La valeur par défaut de 2 592 000 correspond à 30 jours à compter de la création du mot de passe.	user: 2592000 sysadmin: 0
pwdMaxFailure	Nombre de tentatives de connexion consécutives infructueuses après lesquelles un mot de passe ne peut plus être utilisé pour authentifier un utilisateur dans l'annuaire.	3
pwdMinLength	Indique le nombre minimal de caractères requis lors de la définition d'un mot de passe.	8

Déverrouiller un compte utilisateur

Le compte d'un utilisateur peut être verrouillé en raison d'attributs définis dans la règle relative aux mots de passe. Un utilisateur disposant du rôle Apigee "sysadmin" peut utiliser l'appel d'API suivant pour déverrouiller son compte. Remplacez userEmail, adminEmail et password par des valeurs réelles.

Pour déverrouiller un utilisateur :

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password

Remarque : Pour s'assurer que seuls les administrateurs système peuvent appeler cette API, le chemin d'accès /users/*/status est inclus dans la propriété conf_security_rbac.restricted.resources du serveur de gestion :

cd /opt/apigee/edge-management-server

grep -ri "conf_security_rbac.restricted.resources" *

Le résultat contient les éléments suivants :

token/default.properties:conf_security_rbac.restricted.resources=/environments,/environments/*,/environments/*/virtualhosts,/environments/*/virtualhosts/*,/pods,/environments/*/servers,/rebuildindex,/users/*/status