Cassandra-Authentifizierung aktivieren

Edge for Private Cloud Version 4.16.05

Standardmäßig wird Cassandra ohne aktivierte Authentifizierung installiert. Das bedeutet, dass jeder auf Cassandra zugreifen kann. Sie können die Authentifizierung nach der Installation von Edge oder als Teil des Installationsvorgangs aktivieren.

Wenn Sie die Authentifizierung für Cassandra aktivieren, werden die folgenden Standardanmeldedaten verwendet:

  • nutzername = 'erika'
  • password = 'cassandra'

Sie können dieses Konto verwenden, ein anderes Passwort dafür festlegen oder einen neuen Cassandra-Nutzer erstellen. Mit den Cassandra-Anweisungen CREATE/ALTER/DROP USER können Sie Nutzer hinzufügen, entfernen und ändern.

Weitere Informationen finden Sie unter http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Cassandra-Authentifizierung während der Installation aktivieren

Sie können die Cassandra-Authentifizierung als Installationszeit aktivieren. Sie können die Authentifizierung zwar bei der Installation von Cassandra aktivieren, den Standardnutzernamen und das Standardpasswort können jedoch nicht geändert werden. Sie müssen diesen Schritt manuell ausführen, nachdem die Installation von Cassandra abgeschlossen ist.

Hinweis: Gehen Sie bei der Installation von Cassandra mit den Optionen "-p c", "-p ds", "-p sa", "-p aio", "-p asa" und "-p ebp" vor.

Fügen Sie die Eigenschaft CASS_AUTH in die Konfigurationsdatei für alle Cassandra-Knoten ein, um die Cassandra-Authentifizierung bei der Installation zu aktivieren:

CASS_AUTH=y # The default value is n.

Die folgenden Edge-Komponenten greifen auf Cassandra zu:

  • Verwaltungsserver
  • Message Processors
  • Router
  • Qpid-Server
  • Postgres-Server
  • BaaS-Stack

Daher müssen Sie bei der Installation dieser Komponenten die folgenden Attribute in der Konfigurationsdatei festlegen, um die Cassandra-Anmeldedaten anzugeben:

CASS_USERNAME=cassandra 
CASS_PASSWORD=cassandra

Sie können die Cassandra-Anmeldedaten nach der Installation von Cassandra ändern. Wenn Sie jedoch bereits Management Server, Message Processors, Router, Qpid-Server, Postgres-Server oder BaaS-Stack installiert haben, müssen Sie auch diese Komponenten aktualisieren, um die neuen Anmeldedaten zu verwenden.

So ändern Sie die Cassandra-Anmeldedaten nach der Installation von Cassandra:

  1. Melden Sie sich mit dem Tool cqlsh und den Standardanmeldedaten bei einem beliebigen Cassandra-Knoten an. Sie müssen das Passwort nur auf einem Knoten ändern. Es wird dann an alle Cassandra-Knoten im Ring übertragen:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
    Dabei gilt:
    1. cassIP ist die IP-Adresse des Cassandra-Knotens.
    2. 9042 ist der Standard-Cassandra-Port.
    3. Der Standardnutzer ist cassandra.
    4. Das Standardpasswort lautet cassandra. Wenn Sie das Passwort zuvor geändert haben, verwenden Sie das aktuelle Passwort.
  2. Führen Sie in der Eingabeaufforderung cqlsh> den folgenden Befehl aus, um das Passwort zu aktualisieren:
    cqlsh> ALTER USER cassandra WITH PASSWORT 'NEW_PASSWORD';
  3. Beenden Sie das cqlsh-Tool:
    cqlsh> Exit
  4. Wenn Sie den Management Server, die Message Processors, Router, die Qpid-Server, die Postgres-Server oder den BaaS-Stack noch nicht installiert haben, legen Sie in der Konfigurationsdatei die folgenden Attribute fest und installieren Sie diese Komponenten:
    CASS_NUTZERNAME=cassandra
    CASS_PASSWORT=NEW_PASSWORT
  5. Wenn Sie den Verwaltungsserver, Message Processors, Router, Qpid-Server, Postgres-Server oder BaaS-Stack bereits installiert haben, finden Sie unter Edge-Passwörter zurücksetzen Informationen zum Aktualisieren dieser Komponenten für die Verwendung des neuen Passworts.

Cassandra-Authentifizierung nach der Installation aktivieren

So aktivieren Sie die Authentifizierung:

  • Aktualisieren Sie alle Edge-Komponenten, die mit dem Cassandra-Nutzernamen und -Passwort eine Verbindung zu Cassandra herstellen.
  • Aktivieren Sie auf allen Cassandra-Knoten die Authentifizierung.
  • Legen Sie den Cassandra-Nutzernamen und das Passwort auf einem beliebigen Knoten fest. Sie müssen die Anmeldedaten nur auf einem Cassandra-Knoten ändern. Sie werden dann an alle Cassandra-Knoten im Ring übertragen.

Aktualisieren Sie mit dem folgenden Verfahren alle Edge-Komponenten, die mit Cassandra mit den neuen Anmeldedaten kommunizieren. Beachten Sie, dass Sie diesen Schritt ausführen, bevor Sie die Cassandra-Anmeldedaten tatsächlich aktualisieren:

  1. Führen Sie auf dem Management Server-Knoten den folgenden Befehl aus:
    > /opt/apigee/apigee-service/bin/apigee-serviceedge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORT



    Sie können eine Datei mit dem neuen Nutzernamen und Passwort an den Befehl übergeben, der den neuen Nutzernamen und das neue Passwort enthält:
    > apigee_config-serviceedge-management-server_cass:



    configFile
  2. Wiederholen Sie Schritt 1 auf:
    • Alle Message Processor
    • Alle Router
    • Alle Qpid-Server (edge-qpid-server)
    • Postgres-Server (Edge-Postgres-Server)
  3. Im BaaS-Stack-Knoten ab Version 4.16.05.04:
    1. Führen Sie den folgenden Befehl aus, um ein verschlüsseltes Passwort zu generieren:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Dieser Befehl fordert Sie zur Eingabe des Nur-Text-Passworts auf und gibt das verschlüsselte Passwort im folgenden Format zurück:
      SECURE:ae1b6dedbf6b26aaaab8f305b5b33075b12
    2. Legen Sie die folgenden Tokens in /opt/apigee/customer/application/usergrid.properties fest. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e example
      Cassandra
      verwendet den Standardnutzernamen für example
      Cassandra
      Wenn Sie den Nutzernamen geändert haben, legen Sie den Wert von usergrid-deployment_cassandra.username entsprechend fest.

      Achten Sie darauf, das Präfix SECURE: im Passwort anzugeben. Andernfalls interpretiert der BaaS-Stack den Wert als unverschlüsselt.

      Hinweis: Jeder BaaS-Stackknoten hat einen eigenen eindeutigen Schlüssel, der zum Verschlüsseln des Passworts verwendet wird. Daher müssen Sie den verschlüsselten Wert auf jedem BaaS-Stack-Knoten separat generieren.
    3. Ändern Sie die Eigentümerschaft der Datei usergrid.properties in den Benutzer „apigee“:
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Konfigurieren Sie den Stackknoten:
      > /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. Starten Sie den BaaS-Stack neu:
      > /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid Neustart
    6. Wiederholen Sie diese Schritte für alle BaaS-Stack-Nicken.

Gehen Sie wie folgt vor, um die Cassandra-Authentifizierung zu aktivieren und den Nutzernamen und das Passwort festzulegen:

  1. Melden Sie sich beim ersten Cassandra-Knoten an.
  2. Führen Sie den folgenden Befehl aus:
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra
      enable_cassandra_authentication -e y

    Dieser Befehl aktiviert die Authentifizierung und startet Cassandra neu.

  3. Wiederholen Sie die Schritte 1 und 2 auf allen Cassandra-Knoten.
  4. Melden Sie sich mit dem cqlsh-Tool und den Standardanmeldedaten bei einem beliebigen Cassandra-Knoten an. Sie müssen das Passwort nur auf einem Cassandra-Knoten ändern. Es wird dann an alle Cassandra-Knoten im Ring übertragen:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Wo?

    • cassIP ist die IP-Adresse des Cassandra-Knotens.
    • 9042 ist der Cassandra-Port.
    • Der Standardnutzer ist cassandra.
    • Das Standardpasswort lautet cassandra. Wenn Sie das Passwort zuvor geändert haben, verwenden Sie das aktuelle Passwort.
  5. Führen Sie den folgenden Befehl in der Eingabeaufforderung cqlsh> aus, um das Passwort zu aktualisieren:
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  6. Führen Sie den folgenden Befehl in der Eingabeaufforderung cqlsh> aus, damit der Tastenbereich immer verfügbar ist. Für ein einzelnes Rechenzentrum:
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3'};
    Für zwei Rechenzentren:
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3', 'dc-2': '3'};
  7. Beenden Sie das cqlsh-Tool:
    exit
  8. Führen Sie nodetool repair aus, damit die Änderung an alle Cassandra-Knoten weitergegeben wird:
    /opt/apigee/apigee-cassandra/bin/nodetool repair system_auth