Mengelola kebijakan sandi LDAP default untuk pengelolaan API

Sistem Apigee menggunakan SymasLDAP untuk mengautentikasi pengguna di lingkungan pengelolaan API Anda. SymasLDAP menyediakan fungsi kebijakan sandi LDAP ini.

Bagian ini menjelaskan cara mengonfigurasi kebijakan sandi LDAP default yang dikirimkan. Gunakan kebijakan sandi ini untuk mengonfigurasi berbagai opsi autentikasi sandi, seperti jumlah upaya login gagal berturut-turut setelah sandi tidak dapat lagi digunakan untuk mengautentikasi pengguna ke direktori.

Bagian ini juga menjelaskan cara menggunakan beberapa API untuk membuka kunci akun pengguna yang telah dikunci sesuai dengan atribut yang dikonfigurasi dalam kebijakan sandi default.

Untuk informasi tambahan, lihat:

Mengonfigurasi Kebijakan Sandi LDAP Default

Untuk mengonfigurasi kebijakan sandi LDAP default:

  1. Hubungkan ke server LDAP Anda menggunakan klien LDAP, seperti Apache Studio atau ldapmodify. Secara default, server SymasLDAP memproses port 10389 di node SymasLDAP.

    Untuk terhubung, tentukan Bind DN atau pengguna cn=manager,dc=apigee,dc=com dan sandi SymasLDAP yang Anda tetapkan pada saat penginstalan Edge.

  2. Gunakan klien untuk membuka atribut kebijakan sandi untuk:
    • Pengguna Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Admin sistem Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. Edit nilai atribut kebijakan sandi sesuai keinginan.
  4. Simpan konfigurasi.

Atribut Kebijakan Sandi LDAP Default

Atribut Deskripsi Default
pwdExpireWarning
Jumlah detik maksimum sebelum sandi akan habis masa berlakunya, sehingga pesan peringatan masa berlaku akan ditampilkan kepada pengguna yang melakukan autentikasi ke direktori.

604800

(Setara dengan 7 hari)

pwdFailureCountInterval

Jumlah detik setelah upaya pengikatan gagal berturut-turut yang lama dihapus dari penghitung kegagalan.

Dengan kata lain, ini adalah jumlah detik setelah jumlah upaya login gagal berturut-turut direset.

Jika pwdFailureCountInterval disetel ke 0, hanya autentikasi yang berhasil yang dapat mereset penghitung.

Jika pwdFailureCountInterval disetel ke >0, atribut menentukan durasi setelah jumlah upaya login gagal berturut-turut direset secara otomatis, meskipun tidak ada autentikasi yang berhasil.

Sebaiknya atribut ini ditetapkan ke nilai yang sama dengan atribut pwdLockoutDuration.

300
pwdInHistory

Jumlah maksimum sandi yang digunakan, atau sebelumnya, untuk pengguna yang akan disimpan dalam atribut pwdHistory.

Saat mengubah sandinya, pengguna akan dicegah mengubahnya menjadi salah satu sandi lamanya.

3
pwdLockout

Jika TRUE, menentukan untuk mengunci pengguna saat sandi mereka habis masa berlakunya sehingga pengguna tidak dapat lagi login.

Salah
pwdLockoutDuration

Jumlah detik selama sandi tidak dapat digunakan untuk mengautentikasi pengguna karena terlalu banyak upaya login yang gagal secara berturut-turut.

Dengan kata lain, ini adalah jangka waktu akun pengguna akan tetap dikunci karena melampaui jumlah upaya login gagal berturut-turut yang ditetapkan oleh atribut pwdMaxFailure.

Jika pwdLockoutDuration disetel ke 0, akun pengguna akan tetap terkunci hingga administrator sistem membukanya.

Lihat Membuka kunci akun pengguna.

Jika pwdLockoutDuration disetel ke >0, atribut menentukan durasi akun pengguna akan tetap dikunci. Setelah jangka waktu ini berlalu, akun pengguna akan otomatis dibuka.

Sebaiknya atribut ini ditetapkan ke nilai yang sama dengan atribut pwdFailureCountInterval.

300
pwdMaxAge

Jumlah detik setelah sandi pengguna (non-admin sistem) berakhir. Nilai 0 berarti sandi tidak akan habis masa berlakunya. Nilai default 2592000 sesuai dengan 30 hari sejak waktu sandi dibuat.

pengguna: 2592000

sysadmin: 0

pwdMaxFailure

Jumlah upaya login gagal berturut-turut setelah sandi tidak dapat digunakan untuk mengautentikasi pengguna ke direktori.

3
pwdMinLength

Menentukan jumlah karakter minimum yang diperlukan saat menyetel sandi.

8

Membuka Kunci Akun Pengguna

Akun pengguna dapat dikunci karena atribut yang ditetapkan dalam kebijakan sandi. Pengguna dengan peran sysadmin Apigee yang ditetapkan dapat menggunakan panggilan API berikut untuk membuka kunci akun pengguna. Ganti userEmail, adminEmail, dan password dengan nilai sebenarnya.

Untuk membuka kunci pengguna:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password