Resetowanie haseł na serwerach brzegowych

Edge for Private Cloud wer. 4.16.05

Po zakończeniu instalacji możesz zresetować hasła OpenLDAP, Apigee Edge, użytkownika organizacji Edge i Cassandra.

Zresetuj hasło OpenLDAP

W zależności od konfiguracji Edge możesz zainstalować OpenLDAP jako:

• Pojedyncza instancja OpenLDAP zainstalowana w węźle serwera zarządzania. na przykład w konfiguracji brzegowej z 2 węzłami, 5 węzłami lub 9 węzłami.
• Zainstalowano wiele instancji OpenLDAP w węzłach serwera zarządzania skonfigurowanych przy użyciu replikacji OpenLDAP. na przykład w konfiguracji brzegowej z 12 węzłami.
• Wiele instancji OpenLDAP zainstalowanych w własnych węzłach skonfigurowanych przy użyciu replikacji OpenLDAP. na przykład w konfiguracji Edge z 13 węzłami.

Sposób resetowania hasła OpenLDAP zależy od konfiguracji.

W przypadku pojedynczej instancji OpenLDAP zainstalowanej na serwerze zarządzania wykonaj te czynności:

1. W węźle serwera zarządzania uruchom następujące polecenie, aby utworzyć nowe hasło OpenLDAP:
   > /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
2. Uruchom to polecenie, aby zapisać nowe hasło dostępu do serwera zarządzania:
   > /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-management-server store_ldap_credentials -p newPword
   
   To polecenie uruchamia ponownie serwer zarządzania.

W konfiguracji replikacji OpenLDAP z zainstalowanym OpenLDAP w węzłach serwera zarządzania wykonaj opisane powyżej czynności w obu węzłach serwera zarządzania, aby zaktualizować hasło.

W konfiguracji replikacji OpenLDAP, gdy OpenLDAP znajduje się w węźle innym niż serwer zarządzania, najpierw zmień hasło w obu węzłach OpenLDAP, a następnie w obu węzłach serwera zarządzania.

Zresetuj hasło administratora systemu

Zresetowanie hasła administratora systemu wymaga zresetowania hasła w dwóch miejscach:

• Serwer zarządzania
• Interfejs użytkownika

Ostrzeżenie: zanim zresetujesz hasło administratora systemu, zatrzymaj interfejs Edge. Ponieważ resetujesz hasło najpierw na serwerze zarządzania, przez krótki czas może być jeszcze używane stare hasło w interfejsie. Jeśli interfejs użytkownika nawiąże więcej niż 3 wywołania przy użyciu starego hasła, serwer OpenLDAP zablokuje konto administratora systemu na 3 minuty.

Aby zresetować hasło administratora systemu:

1. W węźle UI zatrzymaj interfejs Edge:
   > /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-ui stop
2. Na serwerze zarządzania uruchom następujące polecenie, aby zresetować hasło:
   > /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-management-server change_sysadmin_password -o currentPW -n newPW
3. Edytuj cichy plik konfiguracyjny użyty do zainstalowania interfejsu Edge, aby ustawić te właściwości:
   APIGEE_ADMINPW=newPW
   SMTPHOST=smtp.gmail.com
   SMTPPORT=465
   SMTPUSER=foo@gmail.com
   SMTPPASSWORD=bar
   SMTPSSL=y
   
   Pamiętaj, że podczas przekazywania nowego hasła musisz uwzględnić właściwości SMTP.
4. Użyj narzędzia apigee-setup, aby zresetować hasło w interfejsie użytkownika Edge z poziomu pliku konfiguracyjnego:
   > /<inst_root>/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
5. Uruchom interfejs Edge w węźle UI:
   > /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-ui start

W środowisku replikacji OpenLDAP z wieloma serwerami zarządzania resetowanie hasła na jednym serwerze zarządzania automatycznie aktualizuje drugi serwer zarządzania. Musisz jednak zaktualizować wszystkie węzły interfejsu Edge osobno.

Resetowanie hasła użytkownika organizacji

Aby zresetować hasło użytkownika organizacji, użyj narzędzia apigee-servce w celu wywołania apigee-setup:

/<inst_root>/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Na przykład:

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword 

Poniżej znajduje się przykładowy plik konfiguracyjny, którego można użyć z opcją „-f”:

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

Hasło użytkownika możesz też zmienić za pomocą interfejsu API Update user.

Reguły haseł administratora systemu i haseł użytkowników organizacji

W tej sekcji możesz wymusić stosowanie wybranej długości i siły haseł w przypadku użytkowników zarządzających interfejsami API. Ustawienia korzystają z serii wstępnie skonfigurowanych (i jednoznacznie numerowanych) wyrażeń regularnych do sprawdzania treści hasła (np. wielkich liter, małych liter, cyfr i znaków specjalnych). Zapisz te ustawienia w pliku /<inst_root>/apigee/customer/application/management-server.properties. Jeśli taki plik nie istnieje, utwórz go.

Po wprowadzeniu zmian w pliku management-server.properties uruchom ponownie serwer zarządzania:

> /<inst_root>/apigee/apigee-service/bin/apigee-service edge-management-server restart

Następnie możesz ustawić oceny siły haseł, grupując różne kombinacje wyrażeń regularnych. Możesz na przykład ustalić, że hasło zawierające co najmniej 1 wielką i małą literę otrzyma ocenę siły „3”, a hasło z co najmniej 1 małą literą i 1 cyfrą otrzyma silniejszą ocenę „4”.

Usługi	Opis
conf_security_password.validation.minimum. password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum. rating.required=3	Za ich pomocą możesz określić ogólne cechy prawidłowych haseł. Domyślna minimalna ocena siły hasła (opisana w dalszej części tabeli) to 3. Zauważ, że wartość parametru passwords.validation.default.rating=2 jest niższa od wymaganej minimalnej oceny. Oznacza to, że jeśli podane hasło wykracza poza skonfigurowane przez Ciebie reguły, otrzymuje ono ocenę 2 i dlatego jest nieprawidłowe (poniżej minimalnej oceny wynoszącej 3).
Poniżej znajdują się wyrażenia regularne określające cechy haseł. Pamiętaj, że każdy z nich jest numerowany. Na przykład „password.validation.regex.5=...” to wyrażenie nr 5. Użyjesz ich w dalszej części pliku, aby ustawić różne kombinacje, które określają ogólną siłę hasła.
conf_security_password.validation.regex.1=^(.)\\1+$	1 – wszystkie znaki się powtarzają
conf_security_password.validation.regex.2=^.*[a-z]+.*$	2 – co najmniej jedna mała litera
conf_security_password.validation.regex.3=^.*[A-Z]+.*$	3 – co najmniej jedna wielka litera
conf_security_password.validation.regex.4=^.*[0-9]+.*$	4 – co najmniej jedna cyfra
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$	5 – co najmniej 1 znak specjalny (bez podkreślenia _)
conf_security_password.validation.regex.6=^.*[_]+.*$	6 – co najmniej jedno podkreślenie
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$	7 – więcej niż jedna mała litera
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$	8 – więcej niż jedna wielka litera
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$	9 – więcej niż jedna cyfra
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$	10 – więcej niż 1 znak specjalny (bez podkreślenia)
conf_security_password.validation.regex.11=^.*[_]{2,}.*$	11 – więcej niż jedno podkreślenie
Poniższe reguły określają siłę haseł na podstawie ich treści. Każda reguła zawiera co najmniej jedno wyrażenie regularne z poprzedniej sekcji i przypisuje do niej siłę liczbową. Siła liczbowa hasła jest porównywana z wartością conf_security_password.validation.minimum.rating.required u góry tego pliku w celu określenia, czy hasło jest prawidłowe.
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3	Każda reguła jest numerowana. Na przykład „password.validation.rule.3=...” to reguła numer 3. Reguły mają następujący format (na prawo od znaku równości): <regex-index-list>,<AND|OR>,<rating> regex-index-list to lista wyrażeń regularnych (według numerów z poprzedniej sekcji) wraz z operatorem AND|OR (oznacza, że należy wziąć pod uwagę wszystkie wymienione wyrażenia lub któreś z nich). rating to liczbowa ocena siły przyznawana każdej regule. Na przykład reguła 5 oznacza, że każde hasło z co najmniej 1 znakiem specjalnym LUB jednym podkreśleniem ma ocenę siły 4. Z hasłem „password.validation.minimum. rating.required=3 u góry pliku oznacza, że prawidłowe jest hasło z oceną 4.
conf_security_rbac.password.validation.enabled=true	Gdy włączone jest logowanie jednokrotne (SSO), ustaw weryfikację hasła kontroli dostępu opartej na rolach na fałsz. Wartość domyślna to true (prawda).

Resetuję hasło do Cassandra

Domyślnie usługa Cassandra ma wyłączone uwierzytelnianie. Jeśli włączysz uwierzytelnianie, będzie używane wstępnie zdefiniowanego użytkownika o nazwie 'cassandra” z hasłem „'cassandra”. Możesz użyć tego konta, ustawić do niego inne hasło lub utworzyć nowego użytkownika Cassandra. Dodawaj, usuwaj i modyfikuj użytkowników przy użyciu instrukcji CREATE/ALTER/DROP USER w Cassandra.

Więcej informacji o włączaniu uwierzytelniania Cassandra znajdziesz w artykule Włączanie uwierzytelniania Cassandra.

Aby zresetować hasło Cassandra, musisz:

• Ustaw hasło w dowolnym węźle Cassandra, a zostanie ono rozpowszechnione do wszystkich węzłów Cassandra w pierścieniu
• Zaktualizuj serwer zarządzania, procesory wiadomości, routery, serwery Qpid, serwery Postgres i stos BaaS w każdym węźle, dodając nowe hasło

Więcej informacji znajdziesz na stronie http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Aby zresetować hasło do Cassandra:

1. Zaloguj się w dowolnym węźle Cassandra za pomocą narzędzia cqlsh i domyślnych danych logowania. Wystarczy zmienić hasło w 1 węźle Cassandra. Zostanie ono rozesłane do wszystkich węzłów Cassandra w pierścieniu:
   > /<inst_root>/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra:
   
   
   • cassIP to adres IP węzła Cassandra.
   • 9042 to port Cassandra.
   • Domyślnym użytkownikiem jest cassandra.
   • Domyślne hasło to cassandra. Jeśli hasło zostało wcześniej zmienione, użyj obecnego hasła.
2. Aby zaktualizować hasło, uruchom następujące polecenie jako polecenie cqlsh>:
   cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
   
   Jeśli nowe hasło zawiera pojedynczy znak cudzysłowu, poprzedź je pojedynczym znakiem cudzysłowu.
3. Zamknij narzędzie cqlsh:
   cqlsh>Exit
4. W węźle serwera zarządzania Google Management Server uruchom to polecenie:
   >
   
   
   
   
   
   
   
   
   CASS_USERNAME
5. Powtórz krok 4 podczas:
   • Wszystkie procesory wiadomości
   • Wszystkie routery
   • Wszystkie serwery Qpid (edge-qpid-server)
   • Serwery Postgres (edge-postgres-server)
6. W węźle stosu BaaS w wersji 4.16.05.04 i nowszych:
   1. Uruchom to polecenie, aby wygenerować zaszyfrowane hasło:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password.
      
      To polecenie wyświetla hasło w postaci zwykłego tekstu i zwraca zaszyfrowane hasło w formacie:
      SECURE:ae1b03b0b0b06b926a1b8dedbf6b926a8a1b8de
   2. Ustaw poniższe tokeny w katalogu /opt/apigee/customer/application/usergrid.properties. Jeśli ten plik nie istnieje, utwórz go:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c230e43
      
      W przypadku zmiany nazwy użytkownika ustaw odpowiednio wartość usergrid-deployment_cassandra.username.
      
      Pamiętaj, aby dodać prefiks „SECURE:” do hasła. W przeciwnym razie stos BaaS zinterpretuje wartość jako niezaszyfrowaną.
      
      Uwaga: każdy węzeł stosu BaaS ma własny unikalny klucz używany do szyfrowania hasła. Dlatego zaszyfrowaną wartość musisz wygenerować osobno w każdym węźle stosu BaaS.
   3. Zmień własność pliku usergrid.properties na użytkownika „apigee”:
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
   4. Skonfiguruj węzeł stosu:
      > /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid configure
   5. Ponownie uruchom stos BaaS:
      > /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid restart
   6. Powtórz te czynności dla wszystkich główków stosu BaaS.

Hasło do Cassandra zostało zmienione.

Resetuję hasło do PostgreSQL

Domyślnie w bazie danych PostgreSQL są zdefiniowane 2 konta użytkowników: „postgres” i „apigee”. Obaj użytkownicy mają domyślne hasło „postgres”. Aby zmienić hasło domyślne, wykonaj czynności opisane poniżej.

Zmień hasła we wszystkich węzłach głównych Postgres. Jeśli masz 2 serwery Postgres skonfigurowane w trybie głównym/gotowym, musisz zmienić hasło tylko w węźle głównym. Więcej informacji znajdziesz w artykule o konfigurowaniu replikacji master-standby dla Postgres.

1. W węźle głównym Postgres zmień katalog na /<inst_root>/apigee/apigee-postgresql/pgsql/bin, gdzie /<inst_root> przyjmuje wartość domyślną /opt.
2. Ustaw hasło użytkownika PostgreSQL „postgres”:
   1. Zaloguj się do bazy danych PostgreSQL przy użyciu polecenia:
      > psql -h localhost -d apigee -U postgres
   2. Gdy pojawi się odpowiedni komunikat, wpisz hasło użytkownika „postgres” jako „postgres”.
   3. W wierszu polecenia PostgreSQL wpisz to polecenie, aby zmienić domyślne hasło:
      apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234';
   4. Zamknij bazę danych PostgreSQL przy użyciu polecenia:
      apigee=> \q
3. Ustaw hasło użytkownika PostgreSQL „apigee”:
   1. Zaloguj się do bazy danych PostgreSQL przy użyciu polecenia:
      > psql -h localhost -d apigee -U apigee
   2. Gdy pojawi się prośba, wpisz hasło użytkownika „apigee” jako „postgres”.
   3. W wierszu polecenia PostgreSQL wpisz to polecenie, aby zmienić domyślne hasło:
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
   4. Zamknij bazę danych PostgreSQL przy użyciu polecenia:
      apigee=> \q
4. Ustaw APIGEE_HOME:
   > Export APIGEE_Home=/<inst_root>/apigee/edge-postgres-server
5. Zaszyfruj nowe hasło:
   > sh /<inst_root>/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
   
   To polecenie zwraca zaszyfrowane hasło tak, jak pokazano poniżej. Zaszyfrowane hasło zaczyna się po znaku „:” i nie zawiera „:”.
   Zaszyfrowany ciąg znaków:WheaR8U4OeMEM11erxA3Cw==
6. Zaktualizuj węzeł serwera zarządzania o nowe zaszyfrowane hasła dla użytkowników „postgres” i „apigee”.
   1. Na serwerze zarządzania zmień katalog na /<inst_root>/apigee/customer/application.
   2. Edytuj plik management-server.properties, aby ustawić poniższe właściwości. Jeśli ten plik nie istnieje, utwórz go:
      Uwaga: niektóre usługi przyjmują zaszyfrowane hasło użytkownika „postgres”, a inne zaszyfrowane hasło „apigee”.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
   3. Sprawdź, czy plik należy do użytkownika „apigee”:
      > chown apigee:apigee management-server.properties
7. Zaktualizuj wszystkie węzły serwera Postgres i Qpid Server nowym zaszyfrowanym hasłem.
   1. W węźle serwera Postgres lub serwera Qpid zmień katalog na /<inst_root>/apigee/customer/application.
   2. Edytuj te pliki. Jeśli te pliki nie istnieją, utwórz je:
      • postgres-server.properties
      • qpid-server.properties
   3. Dodaj do plików te właściwości:
      Uwaga: wszystkie te usługi przyjmują zaszyfrowane hasło użytkownika „postgres”.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
   4. Sprawdź, czy pliki należą do użytkownika „apigee”:
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
8. Uruchom ponownie te komponenty w tej kolejności:
   1. Baza danych PostgreSQL:
      > /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
   2. Serwer Qpid:
      > /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-qpid-server restart
   3. Serwer Postgres:
      > /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-postgres-server restart
   4. Serwer zarządzania:
      > /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-management-server restart