הפעלת אימות קסנדרה

Edge for Private Cloud v. 4.16.05

כברירת מחדל, התקנת Cassandra מתבצעת ללא הפעלת אימות. המשמעות היא שלכל אחד יש גישה קסנדרה. אפשר להפעיל את האימות אחרי שמתקינים את Edge או כחלק מההתקנה תהליך האימות.

אם תחליטו להפעיל אימות ב-Cassandra, המערכת תשתמש בברירת המחדל הבאה פרטי כניסה:

  • username = 'cassandra'
  • password = 'cassandra'

אפשר להשתמש בחשבון הזה, להגדיר סיסמה אחרת לחשבון או ליצור חשבון Cassandra חדשה משתמש. הוספה, הסרה ושינוי של משתמשים באמצעות הצהרות CREATE/ALTER/DROP USER של Cassandra.

מידע נוסף זמין בכתובת http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

הפעלת אימות Cassandra במהלך ההתקנה

אפשר להפעיל את אימות Cassandra כזמן ההתקנה. עם זאת, אפשר להפעיל אימות בזמן התקנת Cassandra, אבל אי אפשר לשנות את שם המשתמש והסיסמה שמוגדרים כברירת מחדל. צריך לבצע את השלב הזה באופן ידני אחרי השלמת ההתקנה של Cassandra.

הערה: יש להשתמש בתהליך הזה בזמן התקנת Cassandra באמצעות האפשרויות '-p c',‏ '-p ds',‏ '-p sa',‏ '-p aio',‏ '-p asa' ו-'-p ebp'.

כדי להפעיל אימות של Cassandra בזמן ההתקנה, צריך לכלול את המאפיין CASS_AUTH בקובץ התצורה לכל הצמתים של Cassandra:

CASS_AUTH=y # The default value is n.

רכיבי Edge הבאים ניגשים ל-Cassandra:

  • שרת ניהול
  • מעבדי הודעות
  • נתבים
  • שרתי Qpid
  • שרתי Postgres
  • מקבץ BaaS

לכן, כשמתקינים את הרכיבים האלה, צריך להגדיר את המאפיינים הבאים קובץ תצורה כדי לציין את פרטי הכניסה של Cassandra:

CASS_USERNAME=cassandra 
CASS_PASSWORD=cassandra

אפשר לשנות את פרטי הכניסה של Cassandra אחרי התקנת Cassandra. אבל אם יש לך כבר התקינו את שרת הניהול, מעבדי הודעות, נתבים, שרתי Qpid, Postgres או BaaS Stack, עליכם גם לעדכן את הרכיבים האלו כדי שישתמשו פרטי הכניסה.

כדי לשנות את פרטי הכניסה של Cassandra אחרי התקנת Cassandra:

  1. מתחברים לכל צומת של Cassandra באמצעות הכלי cqlsh ופרטי הכניסה שמוגדרים כברירת מחדל. צריך לשנות את הסיסמה רק בצומת אחד, והיא תשודר לכל צומתי Cassandra ב-ring:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
    כאשר:
    1. cassIP היא כתובת ה-IP של צומת Cassandra.
    2. 9042 היא יציאת ברירת המחדל של Cassandra.
    3. משתמש ברירת המחדל הוא cassandra.
    4. סיסמת ברירת המחדל היא cassandra. אם שיניתם את הסיסמה בעבר, השתמשו בסיסמה הנוכחית.
  2. מריצים את הפקודה הבאה בשורת הפקודה cqlsh> כדי לעדכן את הסיסמה:
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  3. כדי לצאת מכלי ה-cqlsh:
    cqlsh> יציאה
  4. אם עדיין לא התקנתם את שרת הניהול, מעבדי ההודעות, הנתב, שרתי Qpid, שרתי Postgres או את BaaS Stack, צריך להגדיר את המאפיינים הבאים בקובץ התצורה ואז להתקין את הרכיבים האלה:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=NEW_PASSWORD
  5. אם כבר התקנתם את שרת הניהול, מעבדי ההודעות, הנתב, שרתי Qpid, שרתי Postgres או את BaaS Stack, תוכלו לעיין במאמר איפוס סיסמאות Edge כדי לעדכן את הרכיבים האלה כך שישתמשו בסיסמה החדשה.

הפעלת אימות Cassandra אחרי ההתקנה

כדי להפעיל את האימות:

  • מעדכנים את שם המשתמש והסיסמה של Cassandra בכל רכיבי Edge שמתחברים אליה.
  • מפעילים אימות בכל צמתים של Cassandra.
  • מגדירים את שם המשתמש והסיסמה של Cassandra בכל צומת. צריך לשנות את פרטי הכניסה רק בצומת אחד של Cassandra, והם ישודרו לכל צומתי Cassandra ב-ring.

יש לבצע את התהליך הבא כדי לעדכן את כל רכיבי Edge שמתקשרים עם Cassandra עם פרטי הכניסה החדשים. חשוב לזכור לבצע את השלב הזה לפני שמעדכנים בפועל את פרטי הכניסה של Cassandra:

  1. בצומת של שרת הניהול, מריצים את הפקודה הבאה:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    אופציונלי: אפשר להעביר לפקודה קובץ שמכיל את שם המשתמש והסיסמה החדשים:
    > apigee-service edge-management-server store_cassandra_credentials -f configFile

    בקובץ configFile צריך לכלול את הפרטים הבאים:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=CASS_PASSWROD

    הפקודה הזו מפעילה מחדש את שרת הניהול באופן אוטומטי.
  2. חוזרים על שלב 1 ב:
    • כל מעבדי ההודעות
    • כל הנתב
    • כל שרתי Qpid‏ (edge-qpid-server)
    • שרתי Postgres‏ (edge-postgres-server)
  3. בצומת של BaaS Stack בגרסה 4.16.05.04 ואילך:
    1. מריצים את הפקודה הבאה כדי ליצור סיסמה מוצפנת:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      הפקודה הזו מבקשת את הסיסמה בטקסט ללא הצפנה ומחזירה את הסיסמה המוצפנת בפורמט:
      SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. מגדירים את האסימונים הבאים בקובץ /opt/apigee/customer/application/usergrid.properties. אם הקובץ הזה לא קיים, יוצרים אותו:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050

      בדוגמה הזו נעשה שימוש בשם המשתמש שמוגדר כברירת מחדל ב-Cassandra. אם שיניתם את שם המשתמש, עליכם להגדיר של usergrid-deployment_cassandra.username, בהתאמה.

      חשוב לכלול את הקידומת SECURE: בסיסמה. אחרת, מקבץ BaaS מפרש את הערך כלא מוצפן.

      הערה: לכל צומת ב-BaaS Stack יש מפתח ייחודי משלו להצפנת הסיסמה. לכן צריך ליצור את הערך המוצפן בכל צומת של BaaS Stack בנפרד.
    3. משנים את הבעלות על הקובץ usergrid.properties למשתמש 'apigee':
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. מגדירים את צומת ה-Stack:
      > /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. הפעלה מחדש של מקבץ BaaS:
      &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid הפעלה מחדש
    6. חוזרים על השלבים האלה לכל התנועות ב-BaaS Stack.

כדי להפעיל את האימות ב-Cassandra ולהגדיר את שם המשתמש והסיסמה:

  1. מתחברים לצומת Cassandra הראשון.
  2. מריצים את הפקודה הבאה: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra
  enable_cassandra_authentication -e y

    הפקודה הזו מפעילה את האימות ומפעילה מחדש את Cassandra.

  3. חוזרים על שלבים 1 ו-2 בכל הצמתים של Cassandra.
  4. מתחברים לצומת אחד של Cassandra באמצעות הכלי cqlsh ופרטי הכניסה שמוגדרים כברירת מחדל. צריך לשנות את הסיסמה רק בצומת אחד של Cassandra, והיא תשודר לכל צומתי Cassandra ב-ring: 
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    איפה

    • cassIP היא כתובת ה-IP של צומת Cassandra.
    • 9042 היא היציאה של Cassandra.
    • משתמש ברירת המחדל הוא cassandra.
    • סיסמת ברירת המחדל היא cassandra. אם שיניתם את הסיסמה בעבר, השתמשו בסיסמה הנוכחית.
  5. מריצים את הפקודה הבאה בהודעה של cqlsh> כדי לעדכן את סיסמה: 
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  6. מריצים את הפקודה הבאה בהודעה cqlsh> כדי לוודא שמרחב המפתחות תמיד זמין. במרכז נתונים יחיד: 
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3'};
    בשני מרכזי נתונים: 
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3', 'dc-2': '3'};
  7. יציאה מהכלי cqlsh: 
    exit
  8. מריצים את nodetool repair כדי לוודא שהשינוי הופץ לכל צמתים של Cassandra: 
    /opt/apigee/apigee-cassandra/bin/nodetool repair system_auth