Ativar autenticação do Cassandra

Edge for Private Cloud v. 4.16.09

Por padrão, o Cassandra é instalado sem a autenticação ativada. Isso significa que qualquer pessoa pode acessar Cassandra. Você pode ativar a autenticação depois de instalar o Edge ou como parte da instalação de desenvolvimento de software.

Se você decidir ativar a autenticação no Cassandra, ele usará o seguinte padrão: credenciais:

  • nome de usuário = 'cassandra'
  • senha = 'cassandra'

Você pode usar esta conta, definir uma senha diferente para ela ou criar um novo Cassandra usuário. adicionar, remover e modificar usuários com o comando CREATE/ALTER/DROP USER do Cassandra. declarações.

Para mais informações, consulte http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html (em inglês).

Ativar a autenticação do Cassandra durante instalação

Você pode ativar a autenticação do Cassandra como tempo de instalação. No entanto, embora seja possível ativar ao instalar o Cassandra, não é possível alterar o nome de usuário e a senha padrão. É necessário executar essa etapa manualmente após a conclusão da instalação do Cassandra.

Observação: use este procedimento ao instalar o Cassandra com as chaves "-p c", "-p" ds", "-p sa", "-p aio", "-p asa" e "-p ebp" .

Para ativar a autenticação do Cassandra no momento da instalação, inclua a propriedade CASS_AUTH no arquivo de configuração para todos os nós do Cassandra:

CASS_AUTH=y # The default value is n.

Os seguintes componentes do Edge acessam o Cassandra:

  • Servidor de gerenciamento
  • Processadores de mensagens
  • Roteadores
  • Servidores Qpid
  • Servidores Postgres
  • Pilha BaaS

Portanto, ao instalar esses componentes, você deve definir as seguintes propriedades no de configuração para especificar as credenciais do Cassandra:

CASS_USERNAME=cassandra 
CASS_PASSWORD=cassandra

É possível alterar as credenciais do Cassandra depois de instalá-lo. No entanto, se você tiver já instalou o Management Server, os processadores de mensagens, os roteadores, os servidores Qpid, o Postgres ou pilha de BaaS, você também deve atualizar esses componentes para usar o novo credenciais.

Para alterar as credenciais do Cassandra depois de instalar o Cassandra:

  1. Faça login em qualquer nó do Cassandra usando a ferramenta cqlsh e as credenciais padrão. Você basta alterar a senha em um nó, e ela será transmitida a todos os nós do Cassandra no o anel:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
    Em que:
    1. cassIP é o endereço IP do nó do Cassandra.
    2. 9042 é a porta padrão do Cassandra.
    3. O usuário padrão é cassandra.
    4. A senha padrão é cassandra. Se você mudou a senha antes, use a senha atual.
  2. Execute o comando a seguir como o prompt cqlsh> para atualizar o senha:
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  3. Saia da ferramenta cqlsh:
    cqlsh> sair
  4. Se você ainda não tiver instalado o servidor de gerenciamento, os processadores de mensagens, Roteadores, servidores Qpid, servidores Postgres ou pilha BaaS, definam as seguintes propriedades na de configuração e instale esses componentes:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=NEW_PASSWORD
  5. Se você já tiver instalado o Management Server, Processadores, roteadores, servidores Qpid, servidores Postgres ou pilha BaaS, consulte Como redefinir senhas de borda para conferir o procedimento de atualização delas para usar a nova senha.

Ativar postagem de autenticação do Cassandra instalação

Para ativar a autenticação:

  • Atualize todos os componentes do Edge que se conectam ao Cassandra com o nome de usuário do Cassandra e senha.
  • Ative a autenticação em todos os nós do Cassandra.
  • Defina o nome de usuário e a senha do Cassandra em qualquer nó. Você só precisa alterar credenciais em um nó do Cassandra e elas serão transmitidas para todos os nós do Cassandra na anel

Use o procedimento a seguir para atualizar todos os componentes do Edge que se comunicam com o Cassandra com as novas credenciais. Observe que você realiza esta etapa antes de realmente atualizar o Cassandra credenciais:

  1. No nó do servidor de gerenciamento, execute o seguinte comando:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Também é possível transmitir um arquivo para o comando contendo o novo nome de usuário e a senha:
    > apigee-service Edge-management-server store_cassandra_credentials -f configFile

    Em que configFile contém o seguinte:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=CASS_PASSWROD


    Esse comando reinicia automaticamente o servidor de gerenciamento.
  2. Repita a etapa 1 em:
    • Todos os processadores de mensagens
    • Todos os roteadores
    • Todos os servidores Qpid (edge-qpid-server)
    • Servidores Postgres (edge-postgres-server)
  3. No nó da pilha do BaaS para a versão 4.16.05.04 e mais recentes:
    1. Execute este comando para gerar uma senha criptografada:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Esse comando solicita a senha em texto simples e retorna a senha criptografada em o formulário:
      SEGURANÇA:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. Defina os tokens a seguir em /opt/apigee/customer/application/usergrid.properties. Se esse arquivo não existir, crie-o:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050


      Este exemplo usa o nome de usuário padrão do Cassandra. Se você alterou o nome de usuário, defina o de usergrid-deployment_cassandra.username adequadamente.

      Não se esqueça de incluir a "SEGURANÇA:" da senha. Caso contrário, a pilha de BaaS interpreta o valor como não criptografado.

      Observação: cada nó de pilha de BaaS tem sua própria chave exclusiva usada para criptografar o senha. Portanto, você precisa gerar o valor criptografado em cada nó de pilha BaaS separadamente.
    3. Altere a propriedade do arquivo usergrid.properties para a "apigee" usuário:
      > Chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Configure o nó da pilha:
      &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid configurar
    5. Reinicie a pilha BaaS:
      &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid reiniciar
    6. Repita essas etapas para todas as indicações do BaaS Stack.

Use o procedimento a seguir para ativar a autenticação do Cassandra e definir o nome de usuário e senha:

  1. Faça login no primeiro nó do Cassandra.
  2. Execute este comando:
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra
      enable_cassandra_authentication -e y

    Esse comando ativa a autenticação e reinicia o Cassandra.

  3. Repita as etapas 1 e 2 em todos os nós do Cassandra.
  4. Faça login em qualquer nó do Cassandra usando a ferramenta cqlsh e o credenciais. Você só precisa alterar a senha em um nó do Cassandra e ele será transmitir para todos os nós do Cassandra no anel:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Onde

    • cassIP é o endereço IP do nó do Cassandra.
    • 9042 é a porta do Cassandra.
    • O usuário padrão é cassandra.
    • A senha padrão é cassandra. Se você mudou a senha antes, use a senha atual.
  5. Execute o comando a seguir no prompt cqlsh> para atualizar o senha:
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  6. Execute o comando a seguir no prompt cqlsh> para garantir que o keyspace está sempre disponível. . Para um único data center:
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3'};
    No caso de dois data centers:
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3', 'dc-2': '3'};
  7. Saia da ferramenta cqlsh:
    exit
  8. Execute nodetool repair para garantir que a mudança seja propagada para todos os nós do Cassandra:
    /opt/apigee/apigee-cassandra/bin/nodetool repair system_auth