Włącz uwierzytelnianie Cassandra

Edge for Private Cloud w wersji 4.16.05

Domyślnie system Cassandra instaluje oprogramowanie bez włączonego uwierzytelniania. Oznacza to, że każdy ma dostęp Cassandra. Uwierzytelnianie możesz włączyć po zainstalowaniu Edge lub podczas instalacji proces tworzenia konta.

Jeśli zdecydujesz się włączyć uwierzytelnianie w systemie Cassandra, będzie ono używać: dane logowania:

  • nazwa użytkownika = 'cassandra'
  • hasło = 'cassandra'

Możesz użyć tego konta, ustawić do niego inne hasło lub utworzyć nowe konto Cassandra użytkownika. Dodawaj, usuwaj i modyfikuj użytkowników za pomocą funkcji CREATE/ALTER/DROP USER (UTWÓRZ, LUB UŻYTKOWNIKA) Cassandra wyciągów.

Więcej informacji znajdziesz na stronie http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Włącz uwierzytelnianie Cassandra podczas instalacja

Możesz włączyć uwierzytelnianie Cassandra jako czas instalacji. Możesz jednak włączyć uwierzytelniania podczas instalacji systemu Cassandra nie można zmienić domyślnej nazwy użytkownika ani hasła. Po zakończeniu instalacji systemu Cassandra musisz wykonać ten krok ręcznie.

Uwaga: wykonaj tę procedurę w przypadku instalowania Cassandra za pomocą klawiszy „-p c”, „-p” ds”, „-p sa”, „-p aio”, „-p asa” i „-p ebp” .

Aby włączyć uwierzytelnianie Cassandra podczas instalacji, umieść w pliku konfiguracji właściwość CASS_AUTH. dla wszystkich węzłów Cassandra:

CASS_AUTH=y # The default value is n.

Te komponenty Edge uzyskują dostęp do Cassandra:

  • Serwer zarządzania
  • Procesory wiadomości
  • Routery
  • Serwery Qpid
  • Serwery Postgres
  • Stos BaaS

Dlatego, gdy instalujesz te komponenty, musisz w parametrze pliku konfiguracji, aby określić dane logowania do systemu Cassandra.

CASS_USERNAME=cassandra 
CASS_PASSWORD=cassandra

Dane logowania do systemu Cassandra możesz zmienić po zainstalowaniu tej aplikacji. Jeśli jednak masz już zainstalowano serwer zarządzania, procesory wiadomości, routery, serwery Qpid, Postgres serwerów lub stosu BaaS, należy również zaktualizować te komponenty, aby korzystały z dane logowania.

Aby zmienić dane logowania do systemu Cassandra po zainstalowaniu tej aplikacji:

  1. Zaloguj się w dowolnym węźle Cassandra przy użyciu narzędzia cqlsh i domyślnych danych logowania. Ty wystarczy zmienić hasło w jednym węźle, który zostanie przesłany do wszystkich węzłów Cassandra pierścionek:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
    Gdzie:
      ,
    1. cassIP to adres IP węzła Cassandra.
    2. 9042 to domyślny port Cassandra.
    3. Domyślnym użytkownikiem jest cassandra.
    4. Domyślne hasło to cassandra. Jeśli hasło zostało przez Ciebie zmienione poprzednio użyj obecnego hasła.
  2. Uruchom poniższe polecenie w wierszu cqlsh>, aby zaktualizować hasło:
    cqlsh> ALTERNATYWNA UŻYTKOWNIK – Kassandra Z PASSWORD 'NEW_PASSWORD';
  3. Zamknij narzędzie CQlsh:
    cqlsh> zamknij
  4. Jeśli nie zainstalowano jeszcze serwera zarządzania, procesorów wiadomości, Routery, serwery Qpid, serwery Postgres lub stos BaaS ustawiają poniższe właściwości w sekcji i zainstaluj te komponenty:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=NEW_PASSWORD
  5. Jeśli masz już zainstalowany serwer zarządzania, komunikat procesory, routery, serwery Qpid, serwery Postgres lub stos BaaS, zapoznaj się z sekcją Resetowanie haseł brzegowych, aby dowiedzieć się, jak je zaktualizować. użyć nowego hasła.

Włącz post uwierzytelniania Cassandra instalacja

Aby włączyć uwierzytelnianie:

  • Zaktualizuj wszystkie komponenty Edge, które łączą się z Cassandra, podając nazwę użytkownika Cassandra i hasła.
  • Włącz uwierzytelnianie we wszystkich węzłach Cassandra.
  • Ustaw nazwę użytkownika i hasło Cassandra w dowolnym węźle. Wystarczy zmienić tylko danych logowania w jednym węźle Cassandra i będą one przekazywane do wszystkich węzłów Cassandra w włącz dzwonek.

Wykonaj poniższą procedurę, aby zaktualizować wszystkie komponenty Edge, które komunikują się z Cassandra przy użyciu nowych danych logowania. Pamiętaj, że ten krok należy wykonać przed zaktualizowaniem systemu Cassandra dane logowania:

  1. W węźle serwera zarządzania uruchom następujące polecenie:
    > /opt/apigee/apigee-service/bin/apigee-service border-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Opcjonalnie do polecenia możesz przekazać plik zawierający nową nazwę użytkownika i hasło:
    > apigee-service serwer brzegowy-zarządzanie-serwer_danych_uwierzytelniających_cassandra_-f configFile

    Gdzie configFile zawiera:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=CASS_PASSWROD


    To polecenie automatycznie ponownie uruchomi serwer zarządzania.
  2. Powtórz krok 1 w:
    • Wszystkie procesory wiadomości
    • Wszystkie routery
    • Wszystkie serwery Qpid (edge-qpid-server)
    • Serwery Postgres (edge-postgres-server)
  3. W węźle stosu BaaS w wersji 4.16.05.04 i nowszych:
    1. Uruchom to polecenie, aby wygenerować zaszyfrowane hasło:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      To polecenie wyświetla monit o podanie hasła w postaci zwykłego tekstu i zwraca zaszyfrowane hasło w: formularz:
      SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. Ustaw poniższe tokeny w /opt/apigee/customer/application/usergrid.properties. Jeśli plik nie istnieje, utwórz go:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050


      W tym przykładzie użyto domyślnej nazwy użytkownika Cassandra. Jeśli nazwa użytkownika została zmieniona, ustaw parametr odpowiednio usergrid-deployment_cassandra.username.

      Nie zapomnij dodać pola „SECURE:” jego prefiksu. W przeciwnym razie stos BaaS interpretuje wartość jako niezaszyfrowaną.

      Uwaga: każdy węzeł stosu BaaS ma własny unikalny klucz służący do szyfrowania hasła. Dlatego musisz wygenerować zaszyfrowaną wartość w każdym węźle stosu BaaS. oddzielnie.
    3. Zmień własność pliku usergrid.properties na „apigee” użytkownik:
      Chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Skonfiguruj węzeł stosu:
      &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid skonfiguruj
    5. Uruchom ponownie stos BaaS:
      &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid Uruchom ponownie
    6. Powtórz te kroki w przypadku wszystkich negatywów stosu BaaS.

Wykonaj poniższe czynności, aby włączyć uwierzytelnianie Cassandra i ustawić nazwę użytkownika oraz hasło:

  1. Zaloguj się w pierwszym węźle Cassandra.
  2. Uruchom to polecenie:
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra
      enable_cassandra_authentication -e y

    To polecenie włącza uwierzytelnianie i ponownie uruchamia Cassandra.

  3. Powtórz kroki 1 i 2 na wszystkich węzłach Cassandra.
  4. Zaloguj się do dowolnego węzła Cassandra za pomocą narzędzia cqlsh i domyślnego dane logowania. Wystarczy zmienić hasło tylko w jednym węźle Cassandra. komunikat do wszystkich węzłów Cassandra w pierścieniu:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Gdzie

    • cassIP to adres IP węzła Cassandra.
    • 9042 to port Cassandra.
    • Domyślnym użytkownikiem jest cassandra.
    • Domyślne hasło to cassandra. Jeśli hasło zostało przez Ciebie zmienione poprzednio użyj obecnego hasła.
  5. Uruchom to polecenie w wierszu poleceń cqlsh>, aby zaktualizować hasło:
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  6. Uruchom poniższe polecenie w wierszu poleceń cqlsh>, aby upewnić się, że w miejscu naciśnięcia klawiszy jest zawsze dostępna. . W przypadku pojedynczego centrum danych:
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3'};
    W przypadku 2 centrów danych:
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3', 'dc-2': '3'};
  7. Zamknij narzędzie cqlsh:
    exit
  8. Uruchom polecenie nodetool repair, aby upewnić się, że zmiana została rozpowszechniona we wszystkich węzłach Cassandra:
    /opt/apigee/apigee-cassandra/bin/nodetool repair system_auth