System Apigee używa SymasLDAP do uwierzytelniania użytkowników w środowisku zarządzania interfejsami API. SymasLDAP udostępnia tę funkcję zasad haseł LDAP.
W tej sekcji opisaliśmy, jak skonfigurować dostarczone domyślne zasady dotyczące haseł LDAP. Użyj tych zasad dotyczących haseł, aby skonfigurować różne opcje uwierzytelniania hasłem, takie jak liczba kolejnych nieudanych prób logowania, po których hasło nie może być już używane do uwierzytelniania użytkownika w katalogu.
W tej sekcji opisujemy też, jak używać kilku interfejsów API do odblokowywania kont użytkowników, które zostały zablokowane zgodnie z atrybutami skonfigurowanymi w domyślnych zasadach dotyczących haseł.
Więcej informacji znajdziesz w tych artykułach:
- Zasady LDAP
- „Important information about your password policy” (Ważne informacje o zasadach dotyczących haseł) w Społeczności Apigee
Konfigurowanie domyślnych zasad dotyczących haseł LDAP
Aby skonfigurować domyślne zasady dotyczące haseł LDAP:
- Połącz się z serwerem LDAP za pomocą klienta LDAP, np. Apache Studio lub ldapmodify. Domyślnie serwer SymasLDAP nasłuchuje na porcie 10389 w węźle SymasLDAP.
Aby się połączyć, podaj nazwę wyróżniającą powiązania lub użytkownika
cn=manager,dc=apigee,dc=comoraz hasło SymasLDAP ustawione podczas instalacji Edge. - Użyj klienta, aby przejść do atrybutów zasad dotyczących haseł dla:
- Użytkownicy urządzeń brzegowych:
cn=default,ou=pwpolicies,dc=apigee,dc=com - Administrator systemu Edge:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Użytkownicy urządzeń brzegowych:
- Edytuj wartości atrybutów zasad dotyczących haseł.
- Zapisz konfigurację.
Domyślne atrybuty zasad haseł LDAP
| Atrybut | Opis | Domyślny |
|---|---|---|
pwdExpireWarning |
Maksymalna liczba sekund przed wygaśnięciem hasła, po upływie której użytkownik uwierzytelniający się w katalogu będzie otrzymywać ostrzeżenia o wygaśnięciu. |
604800 (Odpowiednik 7 dni) |
pwdFailureCountInterval |
Liczba sekund, po których stare kolejne nieudane próby powiązania są usuwane z licznika niepowodzeń. Inaczej mówiąc, jest to liczba sekund, po których zresetuje się liczba kolejnych nieudanych prób logowania. Jeśli wartość parametru Jeśli wartość Sugerujemy, aby ten atrybut miał taką samą wartość jak atrybut |
300 |
pwdInHistory |
Maksymalna liczba używanych lub poprzednich haseł użytkownika, które będą przechowywane w atrybucie Podczas zmiany hasła użytkownik nie będzie mógł ustawić żadnego z poprzednich haseł. |
3 |
pwdLockout |
Jeśli |
Fałsz |
pwdLockoutDuration |
Liczba sekund, przez które hasło nie może być używane do uwierzytelniania użytkownika z powodu zbyt wielu kolejnych nieudanych prób logowania. Innymi słowy, jest to czas, przez który konto użytkownika pozostanie zablokowane z powodu przekroczenia liczby kolejnych nieudanych prób logowania określonej przez atrybut Jeśli wartość Zobacz Odblokowywanie konta użytkownika. Jeśli wartość Sugerujemy, aby ten atrybut miał taką samą wartość jak atrybut |
300 |
pwdMaxAge |
Liczba sekund, po których wygasa hasło użytkownika (nie administratora systemu). Wartość 0 oznacza, że hasła nie wygasają. Wartość domyślna 2592000 odpowiada 30 dniom od momentu utworzenia hasła. |
user: 2592000 sysadmin: 0 |
pwdMaxFailure |
Liczba kolejnych nieudanych prób logowania, po których hasła nie można używać do uwierzytelniania użytkownika w katalogu. |
3 |
pwdMinLength |
Określa minimalną liczbę znaków wymaganą podczas ustawiania hasła. |
8 |
Odblokowywanie konta użytkownika
Konto użytkownika może zostać zablokowane z powodu atrybutów ustawionych w zasadach dotyczących haseł. Użytkownik z przypisaną rolą sysadmin Apigee może odblokować konto użytkownika za pomocą tego wywołania interfejsu API: Zastąp symbole userEmail, adminEmail i password rzeczywistymi wartościami.
Aby odblokować użytkownika:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password