การจัดการนโยบายรหัสผ่าน LDAP เริ่มต้นสําหรับการจัดการ API

ระบบ Apigee ใช้ SymasLDAP เพื่อตรวจสอบสิทธิ์ผู้ใช้ในสภาพแวดล้อมการจัดการ API SymasLDAP ทำให้ฟังก์ชันการทำงานของนโยบายรหัสผ่าน LDAP นี้พร้อมใช้งาน

ส่วนนี้จะอธิบายวิธีกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้นที่ส่ง ใช้นโยบายรหัสผ่านนี้ เพื่อกำหนดค่าตัวเลือกการตรวจสอบสิทธิ์ด้วยรหัสผ่านต่างๆ เช่น จำนวน ครั้งที่พยายามเข้าสู่ระบบไม่สำเร็จติดต่อกันหลังจากนั้นจะใช้รหัสผ่านเพื่อตรวจสอบสิทธิ์ ผู้ใช้ในไดเรกทอรีไม่ได้อีก

นอกจากนี้ ส่วนนี้ยังอธิบายวิธีใช้ API 2 รายการเพื่อปลดล็อกบัญชีผู้ใช้ที่ถูกล็อกตามแอตทริบิวต์ที่กำหนดค่าไว้ในนโยบายรหัสผ่านเริ่มต้น

ดูข้อมูลเพิ่มเติมได้ที่

การกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้น

วิธีกำหนดค่านโยบายรหัสผ่าน LDAP เริ่มต้น

  1. เชื่อมต่อกับเซิร์ฟเวอร์ LDAP โดยใช้ไคลเอ็นต์ LDAP เช่น Apache Studio หรือ ldapmodify โดย ค่าเริ่มต้น เซิร์ฟเวอร์ SymasLDAP จะรับฟังบนพอร์ต 10389 ในโหนด SymasLDAP

    หากต้องการเชื่อมต่อ ให้ระบุ DN การเชื่อมโยงหรือผู้ใช้ของ cn=manager,dc=apigee,dc=com และรหัสผ่าน SymasLDAP ที่คุณตั้งค่าไว้ในขณะที่ติดตั้ง Edge

  2. ใช้ไคลเอ็นต์เพื่อไปยังแอตทริบิวต์นโยบายรหัสผ่านสำหรับ
    • ผู้ใช้ Edge: cn=default,ou=pwpolicies,dc=apigee,dc=com
    • ผู้ดูแลระบบ Edge: cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. แก้ไขค่าแอตทริบิวต์นโยบายรหัสผ่านตามที่ต้องการ
  4. บันทึกการกำหนดค่า

แอตทริบิวต์นโยบายรหัสผ่าน LDAP เริ่มต้น

แอตทริบิวต์ คำอธิบาย ค่าเริ่มต้น 
pwdExpireWarning
 จำนวนวินาทีสูงสุดก่อนที่รหัสผ่านจะหมดอายุ ซึ่งระบบจะแสดงข้อความเตือนการหมดอายุ ต่อผู้ใช้ที่ตรวจสอบสิทธิ์ในไดเรกทอรี

604800

(เทียบเท่ากับ 7 วัน)

 
pwdFailureCountInterval

จำนวนวินาทีหลังจากนั้นระบบจะล้างการพยายามเชื่อมโยงที่ไม่สำเร็จติดต่อกันครั้งก่อนๆ ออกจาก ตัวนับความล้มเหลว

กล่าวคือ นี่คือจำนวนวินาทีหลังจากนั้นระบบจะรีเซ็ตจำนวนการเข้าสู่ระบบไม่สำเร็จติดต่อกัน

หากตั้งค่า pwdFailureCountInterval เป็น 0 เฉพาะการตรวจสอบสิทธิ์ที่สำเร็จเท่านั้นที่จะรีเซ็ตตัวนับได้

หากตั้งค่า pwdFailureCountInterval เป็น >0 แอตทริบิวต์จะกำหนดระยะเวลาหลังจากนั้นระบบจะรีเซ็ตจำนวนการเข้าสู่ระบบไม่สำเร็จติดต่อกันโดยอัตโนมัติ แม้ว่าจะไม่มีการตรวจสอบสิทธิ์สำเร็จก็ตาม

เราขอแนะนำให้ตั้งค่าแอตทริบิวต์นี้ให้มีค่าเดียวกับแอตทริบิวต์ pwdLockoutDuration

 300 
pwdInHistory

จำนวนรหัสผ่านที่ใช้แล้วหรือรหัสผ่านที่ผ่านมาสูงสุดสำหรับผู้ใช้ที่จะจัดเก็บไว้ในแอตทริบิวต์ pwdHistory

เมื่อเปลี่ยนรหัสผ่าน ระบบจะบล็อกไม่ให้ผู้ใช้เปลี่ยนรหัสผ่านเป็นรหัสผ่านเก่า

3 
pwdLockout

หากเป็น TRUE จะระบุให้ ล็อกไม่ให้ผู้ใช้เข้าถึงเมื่อรหัสผ่านหมดอายุ เพื่อให้ผู้ใช้เข้าสู่ระบบไม่ได้อีกต่อไป

 เท็จ 
pwdLockoutDuration

จำนวนวินาทีที่ใช้รหัสผ่านเพื่อตรวจสอบสิทธิ์ผู้ใช้ไม่ได้เนื่องจาก มีความพยายามเข้าสู่ระบบติดต่อกันหลายครั้งเกินไป

กล่าวคือ นี่คือระยะเวลาที่ระบบจะล็อกบัญชีผู้ใช้เนื่องจากพยายามเข้าสู่ระบบไม่สำเร็จติดต่อกันเกินจำนวนที่กำหนดโดยแอตทริบิวต์ pwdMaxFailure

หากตั้งค่า pwdLockoutDuration เป็น 0 บัญชีผู้ใช้จะยังคงถูกล็อก จนกว่าผู้ดูแลระบบจะปลดล็อก

ดูหัวข้อการปลดล็อกบัญชีผู้ใช้

หากตั้งค่า pwdLockoutDuration เป็น >0 แอตทริบิวต์จะกำหนดระยะเวลาที่บัญชีผู้ใช้จะยังคง ถูกล็อก เมื่อพ้นระยะเวลาดังกล่าว ระบบจะปลดล็อกบัญชีผู้ใช้โดยอัตโนมัติ

เราขอแนะนำให้ตั้งค่าแอตทริบิวต์นี้ให้มีค่าเดียวกับแอตทริบิวต์ pwdFailureCountInterval

 300 
pwdMaxAge

จำนวนวินาทีหลังจากที่รหัสผ่านของผู้ใช้ (ที่ไม่ใช่ผู้ดูแลระบบ) หมดอายุ ค่า 0 หมายความว่ารหัสผ่านจะไม่มีวันหมดอายุ ค่าเริ่มต้นของ 2592000 จะสอดคล้องกับ 30 วันนับจาก เวลาที่สร้างรหัสผ่าน

user: 2592000

sysadmin: 0

 
pwdMaxFailure

จำนวนครั้งที่พยายามเข้าสู่ระบบไม่สำเร็จติดต่อกันหลังจากนั้นระบบอาจไม่อนุญาตให้ใช้รหัสผ่านเพื่อ ตรวจสอบสิทธิ์ผู้ใช้ในไดเรกทอรี

 3 
pwdMinLength

ระบุจำนวนอักขระขั้นต่ำที่ต้องมีเมื่อตั้งรหัสผ่าน

 8

การปลดล็อกบัญชีผู้ใช้

ระบบอาจล็อกบัญชีของผู้ใช้เนื่องจากแอตทริบิวต์ที่ตั้งไว้ในนโยบายรหัสผ่าน ผู้ใช้ที่ได้รับบทบาทผู้ดูแลระบบของ Apigee สามารถใช้การเรียก API ต่อไปนี้เพื่อปลดล็อกบัญชีของผู้ใช้ได้ แทนที่ userEmail, adminEmail และ password ด้วยค่าจริง

วิธีปลดล็อกผู้ใช้

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password