ניהול מדיניות ברירת המחדל של סיסמת LDAP לניהול ממשק API

מערכת Apigee משתמשת ב-SymasLDAP כדי לאמת משתמשים בסביבת ניהול ה-API שלכם. הפונקציונליות הזו של מדיניות סיסמאות LDAP זמינה ב-SymasLDAP.

בקטע הזה מוסבר איך להגדיר את מדיניות הסיסמאות של LDAP שמוגדרת כברירת מחדל. אפשר להשתמש במדיניות הסיסמאות הזו כדי להגדיר אפשרויות שונות לאימות סיסמאות, כמו מספר הניסיונות הרצופים שנכשלו להתחברות, שאחריהם אי אפשר יותר להשתמש בסיסמה כדי לאמת משתמש בספרייה.

בקטע הזה מוסבר גם איך להשתמש בכמה ממשקי API כדי לבטל את הנעילה של חשבונות משתמשים שננעלו בהתאם למאפיינים שהוגדרו במדיניות ברירת המחדל של הסיסמאות.

מידע נוסף זמין במאמרים הבאים:

הגדרת מדיניות ברירת המחדל של סיסמאות LDAP

כדי להגדיר את מדיניות הסיסמאות של LDAP כברירת מחדל:

  1. מתחברים לשרת ה-LDAP באמצעות לקוח LDAP, כמו Apache Studio או ldapmodify. כברירת מחדל, שרת SymasLDAP מאזין ביציאה 10389 בצומת SymasLDAP.

    כדי להתחבר, מציינים את ה-Bind DN או את המשתמש של cn=manager,dc=apigee,dc=com ואת הסיסמה של SymasLDAP שהגדרתם בזמן ההתקנה של Edge.

  2. משתמשים בלקוח כדי לנווט למאפייני מדיניות הסיסמאות עבור:
    • משתמשי Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • אדמין מערכת של Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. עורכים את ערכי המאפיינים של מדיניות הסיסמאות לפי הצורך.
  4. שומרים את ההגדרה.

מאפייני מדיניות הסיסמאות של LDAP שמוגדרים כברירת מחדל

מאפיין תיאור ברירת מחדל 
pwdExpireWarning
 מספר השניות המקסימלי לפני שסיסמה עומדת לפוג, שאחריו יוצגו למשתמש הודעות אזהרה על פקיעת תוקף הסיסמה כשהוא ינסה לעבור אימות בספרייה.

604800

(שווה ל-7 ימים)

 
pwdFailureCountInterval

מספר השניות שאחריהן ניסיונות כושלים רצופים ישנים של איגוד נמחקים מהמונה של הכשלים.

במילים אחרות, זהו מספר השניות שאחריהן מתבצע איפוס של ספירת ניסיונות ההתחברות הכושלים הרצופים.

אם הערך של pwdFailureCountInterval הוא 0, רק אימות מוצלח יכול לאפס את המונה.

אם הערך של pwdFailureCountInterval גדול מ-0, התכונה מגדירה משך זמן שאחריו מתבצע איפוס אוטומטי של מספר ניסיונות הכניסה הרצופים שנכשלו, גם אם לא בוצע אימות מוצלח.

מומלץ להגדיר במאפיין הזה את אותו ערך שמוגדר במאפיין pwdLockoutDuration.

 300 
pwdInHistory

מספר הסיסמאות המקסימלי שמשתמש יכול להשתמש בהן, או שהשתמש בהן בעבר, שייאוחסנו במאפיין pwdHistory.

כשמשתמשת משנה את הסיסמה שלה, היא לא יכולה לשנות אותה לאף אחת מהסיסמאות הקודמות שלה.

 3 
pwdLockout

אם הערך הוא TRUE, המשתמש יינעל כשהסיסמה שלו תפוג, כך שהוא לא יוכל יותר להתחבר.

 לא נכון 
pwdLockoutDuration

מספר השניות שבמהלכן אי אפשר להשתמש בסיסמה כדי לאמת את המשתמש בגלל יותר מדי ניסיונות התחברות רצופים שנכשלו.

במילים אחרות, זהו משך הזמן שבו חשבון משתמש יישאר נעול בגלל חריגה ממספר הניסיונות הרצופים הכושלים להתחבר שהוגדר באמצעות המאפיין pwdMaxFailure.

אם הערך של pwdLockoutDuration הוא 0, חשבון המשתמש יישאר נעול עד שאדמין המערכת יבטל את הנעילה שלו.

אפשר לקרוא את המאמר בנושא ביטול הנעילה של חשבון משתמש.

אם הערך של pwdLockoutDuration גדול מ-0, המאפיין מגדיר משך זמן שבמהלכו חשבון המשתמש יישאר נעול. כשתקופת הזמן הזו תסתיים, חשבון המשתמש ייפתח אוטומטית.

מומלץ להגדיר במאפיין הזה את אותו ערך שמוגדר במאפיין pwdFailureCountInterval.

 300 
pwdMaxAge

מספר השניות שאחריהן הסיסמה של משתמש (לא אדמין) פגה. הערך 0 מציין שהסיסמאות לא יפוגו. ערך ברירת המחדל 2592000 תואם ל-30 ימים מהזמן שבו הסיסמה נוצרה.

משתמש: 2592000

sysadmin: 0

 
pwdMaxFailure

מספר ניסיונות ההתחברות הכושלים הרצופים שאחריהם אי אפשר להשתמש בסיסמה כדי לאמת משתמש בספרייה.

 3 
pwdMinLength

ההגדרה קובעת את מספר התווים המינימלי שנדרש כשמגדירים סיסמה.

 8

ביטול הנעילה של חשבון משתמש

יכול להיות שהחשבון של המשתמש יינעל בגלל מאפיינים שהוגדרו במדיניות הסיסמאות. משתמש שהוקצה לו תפקיד sysadmin ב-Apigee יכול להשתמש בקריאה הבאה ל-API כדי לבטל את הנעילה של חשבון המשתמש. מחליפים את userEmail, adminEmail ו-password בערכים בפועל.

כדי לבטל את הנעילה של משתמש:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password