Questa pagina è stata tradotta dall'API Cloud Translation.

Gestione del criterio della password LDAP predefinita per la gestione delle API

Il sistema Apigee utilizza SymasLDAP per autenticare gli utenti nel tuo ambiente di gestione delle API. SymasLDAP rende disponibile questa funzionalità di policy delle password LDAP.

Questa sezione descrive come configurare i criteri per le password LDAP predefiniti forniti. Utilizza questo criterio per le password per configurare varie opzioni di autenticazione delle password, ad esempio il numero di tentativi di accesso consecutivi non riusciti dopo i quali una password non può più essere utilizzata per autenticare un utente nella directory.

Questa sezione descrive anche come utilizzare alcune API per sbloccare gli account utente che sono stati bloccati in base agli attributi configurati nella norma relativa alle password predefinita.

Per ulteriori informazioni, vedi:

Configurazione dei criteri per la password LDAP predefinita

Per configurare i criteri per le password LDAP predefiniti:

Connettiti al server LDAP utilizzando un client LDAP, ad esempio Apache Studio o ldapmodify. Per impostazione predefinita, il server SymasLDAP rimane in ascolto sulla porta 10389 sul nodo SymasLDAP.
Per connetterti, specifica il DN di binding o l'utente di cn=manager,dc=apigee,dc=com e la password SymasLDAP che hai impostato al momento dell'installazione di Edge.
Utilizza il client per accedere agli attributi della policy delle password per:
- Utenti Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
- Edge sysadmin: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
Modifica i valori degli attributi della policy password come preferisci.
Salva la configurazione.

Attributi del criterio password LDAP predefiniti

Attributo	Descrizione	Predefinito
pwdExpireWarning	Il numero massimo di secondi prima della scadenza di una password in cui i messaggi di avviso di scadenza verranno restituiti a un utente che si autentica nella directory.	604800 (equivalente a 7 giorni)
pwdFailureCountInterval	Numero di secondi dopo i quali i vecchi tentativi di associazione consecutivi non riusciti vengono eliminati dal contatore degli errori. In altre parole, questo è il numero di secondi dopo i quali il conteggio dei tentativi di accesso non riusciti consecutivi viene reimpostato. Se `pwdFailureCountInterval` è impostato su 0, solo un'autenticazione riuscita può reimpostare il contatore. Se `pwdFailureCountInterval` è impostato su >0, l'attributo definisce una durata dopo la quale il conteggio dei tentativi di accesso non riusciti consecutivi viene reimpostato automaticamente, anche se non è stata eseguita alcuna autenticazione riuscita. Ti consigliamo di impostare questo attributo sullo stesso valore dell'attributo `pwdLockoutDuration`.	300
pwdInHistory	Numero massimo di password utilizzate o precedenti per un utente che verranno archiviate nell'attributo `pwdHistory`. Quando cambia la password, l'utente non potrà impostare una delle sue password precedenti.	3
pwdLockout	Se `TRUE`, specifica di bloccare un utente quando la sua password scade, in modo che non possa più accedere.	Falso
pwdLockoutDuration	Numero di secondi durante i quali una password non può essere utilizzata per autenticare l'utente a causa di troppi tentativi di accesso consecutivi non riusciti. In altre parole, è il periodo di tempo durante il quale un account utente rimarrà bloccato a causa del superamento del numero di tentativi di accesso consecutivi non riusciti impostato dall'attributo `pwdMaxFailure`. Se `pwdLockoutDuration` è impostato su 0, l'account utente rimarrà bloccato finché un amministratore di sistema non lo sbloccherà. Vedi Sblocco di un account utente. Se `pwdLockoutDuration` è impostato su >0, l'attributo definisce una durata per la quale l'account utente rimarrà bloccato. Al termine di questo periodo di tempo, l'account utente verrà sbloccato automaticamente. Ti consigliamo di impostare questo attributo sullo stesso valore dell'attributo `pwdFailureCountInterval`.	300
pwdMaxAge	Numero di secondi dopo i quali scade la password di un utente (non amministratore di sistema). Un valore pari a 0 indica che le password non scadono. Il valore predefinito di 2592000 corrisponde a 30 giorni dal momento della creazione della password.	user: 2592000 sysadmin: 0
pwdMaxFailure	Numero di tentativi di accesso non riusciti consecutivi dopo i quali una password non può essere utilizzata per autenticare un utente nella directory.	3
pwdMinLength	Specifica il numero minimo di caratteri richiesti per l'impostazione di una password.	8

Sblocco di un account utente

L'account di un utente potrebbe essere bloccato a causa degli attributi impostati nel criterio della password. Un utente con il ruolo sysadmin Apigee assegnato può utilizzare la seguente chiamata API per sbloccare l'account dell'utente. Sostituisci userEmail, adminEmail e password con i valori effettivi.

Per sbloccare un utente:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password

Nota:per garantire che solo gli amministratori di sistema possano chiamare questa API, il percorso /users/*/status è incluso nella proprietà conf_security_rbac.restricted.resources per il server di gestione:

cd /opt/apigee/edge-management-server

grep -ri "conf_security_rbac.restricted.resources" *

L'output contiene quanto segue:

token/default.properties:conf_security_rbac.restricted.resources=/environments,/environments/*,/environments/*/virtualhosts,/environments/*/virtualhosts/*,/pods,/environments/*/servers,/rebuildindex,/users/*/status