管理 API 管理的預設 LDAP 密碼政策

Apigee 系統會使用 SymasLDAP,驗證 API 管理環境中的使用者。 SymasLDAP 提供這項 LDAP 密碼政策功能。

本節說明如何設定預設提供的 LDAP 密碼政策。您可以使用這項密碼政策設定各種密碼驗證選項,例如連續登入失敗次數上限,超過這個次數後,密碼就無法再用於驗證目錄中的使用者。

本節也會說明如何使用幾個 API,根據預設密碼政策中設定的屬性,解鎖已遭鎖定的使用者帳戶。

詳情請參閱:

設定預設 LDAP 密碼政策

如要設定預設 LDAP 密碼政策,請按照下列步驟操作:

  1. 使用 LDAP 用戶端 (例如 Apache Studio 或 ldapmodify) 連線至 LDAP 伺服器。根據預設,SymasLDAP 伺服器會監聽 SymasLDAP 節點上的通訊埠 10389。

    如要連線,請指定 cn=manager,dc=apigee,dc=com 的繫結 DN 或使用者,以及您在 Edge 安裝時設定的 SymasLDAP 密碼。

  2. 使用用戶端前往下列項目的密碼政策屬性:
    • Edge 使用者:cn=default,ou=pwpolicies,dc=apigee,dc=com
    • Edge 系統管理員:cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
  3. 視需要編輯密碼政策屬性值。
  4. 儲存設定。

預設 LDAP 密碼政策屬性

屬性 說明 預設 
pwdExpireWarning
 密碼即將到期時,系統會向驗證目錄的使用者傳回警告訊息,這個設定就是指定密碼到期前幾秒會傳回警告訊息。

604800

(相當於 7 天)

 
pwdFailureCountInterval

經過這個秒數後,系統會從失敗計數器清除舊的連續繫結失敗嘗試。

換句話說,這是指連續登入嘗試失敗次數的計數重設時間 (以秒為單位)。

如果 pwdFailureCountInterval 設為 0,只有成功驗證才能重設計數器。

如果 pwdFailureCountInterval 設為 >0,即使未成功驗證,系統也會在指定時間後自動重設連續登入失敗次數。

建議您將這個屬性設為與 pwdLockoutDuration 屬性相同的值。

 300 
pwdInHistory

系統會將使用者使用過或舊密碼的數量上限儲存在 pwdHistory 屬性中。

變更密碼時,使用者無法將密碼設為過去使用過的密碼。

 3 
pwdLockout

如果為 TRUE,則表示使用者密碼過期時會遭到封鎖,無法再登入。

 
pwdLockoutDuration

由於連續登入失敗次數過多,導致密碼無法用於驗證使用者的秒數。

換句話說,這是指使用者帳戶因連續登入失敗次數超過 pwdMaxFailure 屬性設定的值,而遭到鎖定的時間長度。

如果 pwdLockoutDuration 設為 0,使用者帳戶會維持鎖定狀態,直到系統管理員解除鎖定為止。

請參閱「解鎖使用者帳戶」。

如果 pwdLockoutDuration 設為 >0,這個屬性會定義使用者帳戶保持鎖定的時間長度。時間一到,使用者帳戶就會自動解鎖。

建議您將這個屬性設為與 pwdFailureCountInterval 屬性相同的值。

 300 
pwdMaxAge

使用者 (非系統管理員) 密碼的有效秒數。如果值為 0,表示密碼不會過期。預設值 2592000 對應於密碼建立時間起算的 30 天。

user: 2592000

sysadmin:0

 
pwdMaxFailure

連續登入失敗次數,超過此次數後,密碼可能無法用於向目錄驗證使用者身分。

 3 
pwdMinLength

指定設定密碼時的字元數下限。

 8

解鎖使用者帳戶

使用者帳戶可能會因為密碼政策中設定的屬性而遭到鎖定。如果使用者獲派 sysadmin Apigee 角色,可以使用下列 API 呼叫解鎖使用者帳戶。將 userEmailadminEmailpassword 替換為實際值。

如何解除封鎖使用者:

/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password