管理用于 API 管理的默认 LDAP 密码政策

Apigee 系统使用 SymasLDAP 来验证 API 管理环境中的用户。 SymasLDAP 提供此 LDAP 密码政策功能。

本部分介绍了如何配置交付的默认 LDAP 密码政策。使用此密码政策可配置各种密码身份验证选项,例如连续登录失败的次数,在此之后,密码将无法再用于对目录中的用户进行身份验证。

本部分还介绍了如何使用几个 API 来解锁根据默认密码政策中配置的属性而被锁定的用户账号。

如需了解详情,请参阅:

配置默认 LDAP 密码政策

如需配置默认 LDAP 密码政策,请执行以下操作:

  1. 使用 LDAP 客户端(例如 Apache Studio 或 ldapmodify)连接到 LDAP 服务器。默认情况下,SymasLDAP 服务器在 SymasLDAP 节点上侦听端口 10389。

    如需连接,请指定 cn=manager,dc=apigee,dc=com 的绑定 DN 或用户,以及您在安装 Edge 时设置的 SymasLDAP 密码。

  2. 使用客户端导航到以下对象的密码政策属性:
    • Edge 用户:cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Edge 系统管理员:cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. 根据需要修改密码政策属性值。
  4. 保存配置。

默认 LDAP 密码政策属性

属性 说明 默认 
pwdExpireWarning
 在密码即将失效前,向通过身份验证的用户返回失效警告消息的最长秒数。

604800

(相当于 7 天)

 
pwdFailureCountInterval

从失败计数器中清除旧的连续绑定失败尝试后的秒数。

换句话说,这是在连续登录尝试失败次数重置之前经过的秒数。

如果 pwdFailureCountInterval 设置为 0,则只有成功通过身份验证才能重置计数器。

如果 pwdFailureCountInterval 设置为 >0,则该属性定义了一个时间段,在此时间段过后,即使未成功进行身份验证,系统也会自动重置连续登录失败尝试的次数。

我们建议将此属性设置为与 pwdLockoutDuration 属性相同的值。

 300 
pwdInHistory

将存储在 pwdHistory 属性中的用户已用过或过去的密码数量上限。

在更改密码时,系统会阻止用户将密码更改为任何过往密码。

 3 
pwdLockout

如果为 TRUE,则指定在用户密码过期时锁定该用户,以便该用户无法再登录。

 错误 
pwdLockoutDuration

由于连续登录失败次数过多,密码无法用于验证用户身份的秒数。

换句话说,这是用户账号因连续登录失败次数超出 pwdMaxFailure 属性设置的次数而保持锁定状态的时间长度。

如果 pwdLockoutDuration 设置为 0,用户账号将保持锁定状态,直到系统管理员将其解锁。

请参阅解锁用户账号

如果 pwdLockoutDuration 设置为 >0,则该属性定义了用户账号保持锁定状态的时长。当此时间段结束时,系统会自动解锁用户账号。

我们建议将此属性设置为与 pwdFailureCountInterval 属性相同的值。

 300 
pwdMaxAge

用户(非系统管理员)密码过期前的秒数。值为 0 表示密码永不过期。默认值 2592000 对应于密码创建时间起 30 天。

user: 2592000

系统管理员:0

 
pwdMaxFailure

连续登录失败次数,达到此次数后,密码可能无法用于向目录验证用户身份。

 3 
pwdMinLength

指定设置密码时所需的最小字符数。

 8

解锁用户账号

用户的账号可能会因密码政策中设置的属性而被锁定。如果用户被分配了 sysadmin Apigee 角色,则可以使用以下 API 调用来解锁用户账号。将 userEmailadminEmailpassword 替换为实际值。

如需解锁用户,请按如下所述操作

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password