Cassandra-Authentifizierung aktivieren

Edge for Private Cloud Version 4.16.05

Standardmäßig wird Cassandra ohne aktivierte Authentifizierung installiert. Das bedeutet, dass jeder Cassandra Sie können die Authentifizierung nach der Installation von Edge oder im Rahmen der Installation aktivieren.

Wenn Sie die Authentifizierung in Cassandra aktivieren, werden die folgenden Standardanmeldedaten verwendet:

  • Nutzername = 'cassandra'
  • password = 'cassandra'

Sie können dieses Konto verwenden, ein anderes Passwort dafür festlegen oder ein neues Cassandra-Konto erstellen Nutzer. Nutzer mit Cassandra CREATE/ALTER/DROP USER hinzufügen, entfernen und ändern Aussagen.

Weitere Informationen finden Sie unter http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Cassandra-Authentifizierung aktivieren während Installation

Sie können die Cassandra-Authentifizierung bei der Installation aktivieren. Sie können zwar -Authentifizierung bei der Installation von Cassandra haben, können Sie den Standard-User-Namen und das Standardpasswort nicht ändern. Sie müssen diesen Schritt manuell ausführen, nachdem die Installation von Cassandra abgeschlossen ist.

Hinweis: Verwenden Sie diese Vorgehensweise, wenn Sie Cassandra mit den Optionen „-p c“, „-p ds“, „-p sa“, „-p aio“, „-p asa“ und „-p ebp“ installieren.

Fügen Sie das Attribut CASS_AUTH in die Konfigurationsdatei ein, um die Cassandra-Authentifizierung bei der Installation zu aktivieren. für alle Cassandra-Knoten:

CASS_AUTH=y # The default value is n.

Die folgenden Edge-Komponenten greifen auf Cassandra zu:

  • Verwaltungsserver
  • Message Processors
  • Router
  • Qpid-Server
  • Postgres-Server
  • BaaS-Stack

Wenn Sie diese Komponenten also installieren, müssen Sie die folgenden Eigenschaften in der Konfigurationsdatei festlegen, um die Cassandra-Anmeldedaten anzugeben:

CASS_USERNAME=cassandra 
CASS_PASSWORD=cassandra

Sie können die Cassandra-Anmeldedaten nach der Installation von Cassandra ändern. Wenn Sie jedoch bereits den Verwaltungsserver, die Nachrichten-Prozessoren, Router, Qpid-Server, Postgres-Server oder den BaaS-Stack installiert haben, müssen Sie auch diese Komponenten aktualisieren, damit die neuen Anmeldedaten verwendet werden.

So ändern Sie die Cassandra-Anmeldedaten nach der Installation von Cassandra:

  1. Melden Sie sich mit dem Tool cqlsh und den Standardanmeldedaten bei einem beliebigen Cassandra-Knoten an. Ich das Passwort nur auf einem Knoten ändern. Es wird an alle Cassandra-Knoten in der Ring:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 –u cassandra -p cassandra
    Wo:
    1. cassIP ist die IP-Adresse des Cassandra-Knotens.
    2. 9042 ist der standardmäßige Cassandra-Port.
    3. Der Standardnutzer ist cassandra.
    4. Das Standardpasswort lautet cassandra. Wenn Sie das Passwort geändert haben verwenden Sie das aktuelle Passwort.
  2. Führen Sie den folgenden Befehl als Prompt cqlsh> aus, um das Kennwort zu aktualisieren:
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  3. Schließen Sie das cqlsh-Tool:
    cqlsh> exit
  4. Wenn Sie noch nicht den Verwaltungsserver, Message Processors, Router, Qpid-Server, Postgres-Server oder BaaS-Stack, legen Sie die folgenden Eigenschaften in der Konfigurationsdatei und installieren Sie dann diese Komponenten:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=NEW_PASSWORD
  5. Falls Sie den Verwaltungsserver bereits installiert haben, wird eine Meldung Prozessoren, Router, Qpid-Server, Postgres-Server oder BaaS-Stack. Unter Edge-Passwörter zurücksetzen erfahren Sie, wie Sie diese aktualisieren. Komponenten das neue Passwort verwenden.

Cassandra-Authentifizierungsbeitrag aktivieren Installation

So aktivieren Sie die Authentifizierung:

  • Aktualisieren Sie alle Edge-Komponenten, die eine Verbindung zu Cassandra herstellen, mit dem Cassandra-Nutzernamen und dem Cassandra-Passwort.
  • Aktivieren Sie die Authentifizierung auf allen Cassandra-Knoten.
  • Legen Sie den Cassandra-Nutzernamen und das Cassandra-Passwort auf einem beliebigen Knoten fest. Sie müssen nur die Anmeldedaten auf einem Cassandra-Knoten und werden an alle Cassandra-Knoten im klingeln.

Führen Sie die folgenden Schritte aus, um alle Edge-Komponenten, die mit Cassandra kommunizieren, mit den neuen Anmeldedaten zu aktualisieren. Beachten Sie, dass Sie diesen Schritt ausführen, bevor Sie die Cassandra-Anmeldedaten aktualisieren:

  1. Führen Sie auf dem Knoten des Verwaltungsservers den folgenden Befehl aus:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Optional können Sie eine Datei an den Befehl übergeben, die den neuen Nutzernamen und das Passwort enthält:
    > apigee-service Edge-Management-Server store_cassandra_credentials -f configFile

    Dabei enthält configFile Folgendes:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=CASS_PASSWROD

    Mit diesem Befehl wird der Verwaltungsserver automatisch neu gestartet.
  2. Wiederholen Sie Schritt 1 für:
    • Alle Nachrichtenverarbeiter
    • Alle Router
    • Alle Qpid-Server (edge-qpid-server)
    • Postgres-Server (edge-postgres-server)
  3. Auf dem BaaS-Stackknoten ab Version 4.16.05.04:
    1. Führen Sie den folgenden Befehl aus, um ein verschlüsseltes Passwort zu generieren:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Sie werden aufgefordert, das Klartextpasswort einzugeben. Das verschlüsselte Passwort wird dann in folgendem Format zurückgegeben:
      SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. Legen Sie die folgenden Tokens in /opt/apigee/customer/application/usergrid.properties fest. Sollte die Datei nicht vorhanden sein, erstellen Sie sie:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050

      In diesem Beispiel wird der Standardnutzername für Cassandra verwendet. Wenn Sie den Nutzernamen geändert haben, legen Sie den usergrid-deployment_cassandra.username entsprechend an.

      Achten Sie darauf, dem Passwort das Präfix SECURE: hinzuzufügen. Andernfalls interpretiert der BaaS-Stack den Wert als unverschlüsselt.

      Hinweis: Jeder BaaS-Stackknoten hat einen eigenen eindeutigen Schlüssel zum Verschlüsseln des Passwort. Daher müssen Sie den verschlüsselten Wert auf jedem BaaS-Stackknoten generieren separat.
    3. Ändern Sie den Eigentümer der Datei usergrid.properties in den Apigee Nutzer:
      > Chawn apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Konfigurieren Sie den Stackknoten:
      &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid konfigurieren
    5. BaaS-Stack neu starten:
      &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid neu starten
    6. Wiederholen Sie diese Schritte für alle BaaS-Stack-Knoten.

Gehen Sie wie folgt vor, um die Cassandra-Authentifizierung zu aktivieren und den Nutzernamen und Passwort:

  1. Melden Sie sich beim ersten Cassandra-Knoten an.
  2. Führen Sie dazu diesen Befehl aus: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra
  enable_cassandra_authentication -e y

    Mit diesem Befehl wird die Authentifizierung aktiviert und Cassandra neu gestartet.

  3. Wiederholen Sie die Schritte 1 und 2 auf allen Cassandra-Knoten.
  4. Melden Sie sich mit dem cqlsh-Tool und der Standardeinstellung Anmeldedaten. Sie müssen das Passwort nur auf einem Cassandra-Knoten ändern. Es wird dann an alle Cassandra-Knoten im Ring gesendet: 
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Wo

    • cassIP ist die IP-Adresse des Cassandra-Knotens.
    • 9042 ist der Cassandra-Port.
    • Der Standardnutzer ist cassandra.
    • Das Standardpasswort ist cassandra. Wenn Sie das Passwort geändert haben verwenden Sie das aktuelle Passwort.
  5. Führen Sie in der cqlsh>-Eingabeaufforderung den folgenden Befehl aus, um die Passwort: 
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  6. Führen Sie in der cqlsh>-Eingabeaufforderung den folgenden Befehl aus, um sicherzustellen, dass der Schlüsselraum ist immer verfügbar. Für ein einzelnes Rechenzentrum: 
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3'};
    Für zwei Rechenzentren: 
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3', 'dc-2': '3'};
  7. Schließen Sie das cqlsh-Tool: 
    exit
  8. Führen Sie nodetool repair aus, damit die Änderung auf alle Cassandra-Knoten übertragen wird: 
    /opt/apigee/apigee-cassandra/bin/nodetool repair system_auth