Edge per Private Cloud v. 4.16.09
Per impostazione predefinita, Cassandra esegue l'installazione senza autenticazione abilitata. Ciò significa che chiunque può accedere a Cassandra. Puoi abilitare l'autenticazione dopo aver installato Edge o durante la procedura di installazione.
Se decidi di abilitare l'autenticazione su Cassandra, questa utilizza le seguenti credenziali predefinite:
- nome utente = 'cassandra'
- password = 'cassandra'
Puoi utilizzare questo account, impostare una password diversa per l'account o creare un nuovo utente Cassandra. Aggiungi, rimuovi e modifica gli utenti utilizzando le istruzioni Cassandra CREATE/ALTER/DROP USER.
Per ulteriori informazioni, consulta http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.
Abilita l'autenticazione Cassandra durante l'installazione
Puoi attivare l'autenticazione Cassandra come ora di installazione. Tuttavia, anche se puoi abilitare l'autenticazione quando installi Cassandra, non puoi modificare il nome utente e la password predefiniti. Devi eseguire questo passaggio manualmente al termine dell'installazione di Cassandra.
Nota: durante l'installazione di Cassandra, utilizza le opzioni "-p c", "-p ds", "-p sa", "-p aio", "-p asa" e "-p ebp".
Per abilitare l'autenticazione Cassandra al momento dell'installazione, includi la proprietà CASS_AUTH nel file di configurazione per tutti i nodi Cassandra:
CASS_AUTH=y # The default value is n.
I seguenti componenti di Edge accedono a Cassandra:
- Server di gestione
- Processori di messaggi
- Router
- Server Qpid
- Server Postgres
- Stack BaaS
Di conseguenza, quando installi questi componenti, devi impostare le seguenti proprietà nel file di configurazione per specificare le credenziali Cassandra:
CASS_USERNAME=cassandra CASS_PASSWORD=cassandra
Dopo aver installato Cassandra, puoi modificare le credenziali di Cassandra. Tuttavia, se hai già installato server di gestione, processori di messaggi, router, server Qpid, server Postgres o stack BaaS, devi aggiornare anche questi componenti in modo da utilizzare le nuove credenziali.
Per modificare le credenziali di Cassandra dopo l'installazione di Cassandra:
- Accedi a qualsiasi nodo Cassandra utilizzando lo strumento cqlsh e le credenziali predefinite. Devi
modificare la password su un solo nodo e questa verrà trasmessa a tutti i nodi Cassandra
nell'anello:
> /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
Dove:- cassIP è l'indirizzo IP del nodo Cassandra.
- 9042 è la porta predefinita di Cassandra.
- L'utente predefinito è cassandra.
- La password predefinita è cassandra. Se hai modificato la password in precedenza, utilizza la password attuale.
- Esegui questo comando quando cqlsh> richiede di aggiornare la
password:
cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD'; - Esci dallo strumento cqlsh:
cqlsh> exit - Se non hai ancora installato il server di gestione, i processori di messaggi, i router, i server Qpid, i server Postgres o lo stack BaaS, imposta le seguenti proprietà nel file di configurazione, quindi installa questi componenti:
CASS_USERNAME=cassandra
CASS_PASSWORD=NEW_PASSWORD - Se hai già installato server di gestione, processori di messaggi, router, server Qpid, server Postgres o stack BaaS, consulta Reimpostazione delle password perimetrali per la procedura per aggiornare questi componenti in modo da utilizzare la nuova password.
Abilita post-installazione dell'autenticazione Cassandra
Per abilitare l'autenticazione:
- Aggiorna tutti i componenti Edge che si connettono a Cassandra con il nome utente e la password di Cassandra.
- Abilita l'autenticazione su tutti i nodi Cassandra.
- Imposta il nome utente e la password Cassandra su qualsiasi nodo. Devi solo modificare le credenziali su un nodo Cassandra e le credenziali verranno trasmesse a tutti i nodi Cassandra nel ring.
Utilizza la procedura seguente per aggiornare tutti i componenti Edge che comunicano con Cassandra utilizzando le nuove credenziali. Tieni presente che questo passaggio deve essere eseguito prima di aggiornare effettivamente le credenziali Cassandra:
- Sul nodo del server di gestione, esegui questo comando:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
Facoltativamente, puoi passare un file al comando contenente il nuovo nome utente e la password PASSWORD.
configFile - Ripeti il passaggio 1 su:
- Tutti i processori di messaggi
- Tutti i router
- Tutti i server Qpid (edge-qpid-server)
- Server Postgres (server edge-postgres)
- Sul nodo dello stack BaaS per la versione 4.16.05.04 e successive:
- Esegui il seguente comando per generare una password criptata:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password
Questo comando richiede la password in testo normale e restituisce la password criptata nel formato:
SECURE:ae1b6dedbf6b26aaab8bee815a00000000 - Imposta i seguenti token in /opt/apigee/customer/application/usergrid.properties.
Se il file non esiste, crealo:
usergrid-deployment_cassandra.username=cassandra
usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e40bc0 il nome utente predefinito per il campo predefinito
.
Se hai modificato il nome utente, imposta il valore di usergrid-deployment_cassandra.username di conseguenza.
Assicurati di includere il prefisso "SECURE:" nella password. In caso contrario, lo stack BaaS interpreta il valore come non criptato.
Nota: ogni nodo BaaS Stack ha la propria chiave univoca utilizzata per criptare la password. Di conseguenza, devi generare separatamente il valore criptato su ciascun nodo dello stack BaaS. - Cambia la proprietà del file usergrid.properties in
utente 'apigee':
> chown apigee:apigee /opt/apigee/customer/application/usergrid.properties - Configura il nodo Stack:
> /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid configure - Riavvia lo stack BaaS:
> /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid riavvia - Ripeti questi passaggi per tutti i cenni dello stack BaaS.
- Esegui il seguente comando per generare una password criptata:
Utilizza la seguente procedura per attivare l'autenticazione Cassandra e impostare il nome utente e la password:
- Accedi al primo nodo Cassandra.
- Esegui questo comando:
/opt/apigee/apigee-service/bin/apigee-service apigee-cassandra enable_cassandra_authentication -e y
Questo comando consente l'autenticazione e riavvia Cassandra.
- Ripeti i passaggi 1 e 2 su tutti i nodi Cassandra.
- Accedi a qualsiasi nodo Cassandra utilizzando lo strumento
cqlsh
e le credenziali predefinite. Devi cambiare la password su un solo nodo Cassandra e la password verrà trasmessa a tutti i nodi Cassandra nell'anello:/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
Dove
- cassIP è l'indirizzo IP del nodo Cassandra.
- 9042 è la porta di Cassandra.
- L'utente predefinito è
cassandra
. - La password predefinita è
cassandra
. Se hai modificato la password in precedenza, utilizza la password attuale.
- Esegui questo comando alla richiesta di
cqlsh>
per aggiornare la password:ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
- Esegui questo comando alla richiesta di
cqlsh>
per assicurarti che lo spazio delle chiavi sia sempre disponibile. Per un singolo data center:ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3'};
Per due data center:ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3', 'dc-2': '3'};
- Esci dallo strumento
cqlsh
:exit
- Esegui
nodetool repair
per assicurarti che la modifica venga propagata a tutti i nodi Cassandra:/opt/apigee/apigee-cassandra/bin/nodetool repair system_auth