Mereset Sandi Edge

Edge for Private Cloud v. 4.16.09

Anda dapat mereset OpenLDAP, administrator sistem Apigee Edge, pengguna organisasi Edge, dan Sandi Cassandra setelah penginstalan selesai.

Reset Sandi OpenLDAP

Bergantung pada konfigurasi Edge Anda, OpenLDAP dapat diinstal sebagai:

  • Satu instance OpenLDAP yang diinstal di node Server Pengelolaan. Misalnya, di Konfigurasi 2-node, 5-node, atau 9-node Edge.
  • Beberapa instance OpenLDAP diinstal pada node Server Pengelolaan, dikonfigurasikan dengan OpenLDAP replikasi. Misalnya, dalam konfigurasi Edge 12 node.
  • Beberapa instance OpenLDAP diinstal pada nodenya sendiri, dikonfigurasikan dengan OpenLDAP replikasi. Misalnya, dalam konfigurasi Edge 13 node.

Cara mereset sandi OpenLDAP bergantung pada konfigurasi Anda.

Untuk satu instance OpenLDAP yang diinstal di Server Pengelolaan, lakukan berikut ini:

  1. Di node Management Server, jalankan perintah berikut untuk membuat OpenLDAP baru sandi:
    &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. Jalankan perintah berikut guna menyimpan sandi baru untuk diakses oleh Manajemen Server:
    &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword

    Perintah ini akan memulai ulang Server Pengelolaan.

Di penyiapan replikasi OpenLDAP dengan OpenLDAP yang diinstal di Server Pengelolaan node, ikuti langkah-langkah di atas di kedua node Server Pengelolaan untuk mengupdate {i>password<i}.

Di penyiapan replikasi OpenLDAP dengan OpenLDAP berada di node selain Pengelolaan Server, pastikan Anda mengubah sandi di kedua node OpenLDAP terlebih dahulu, lalu Node Server Pengelolaan.

Reset Sandi Admin Sistem

Mereset sandi admin sistem mengharuskan Anda mereset sandi di dua tempat:

  • Server Pengelolaan
  • UI

Peringatan: Anda harus menghentikan UI Edge sebelum mereset admin sistem {i>password<i}. Karena Anda mereset sandi terlebih dahulu di Server Pengelolaan, mungkin akan ada periode waktu saat UI masih menggunakan {i>password<i} lama. Jika UI melakukan lebih dari tiga panggilan menggunakan {i>password<i} lama, server OpenLDAP mengunci akun admin sistem selama tiga menit.

Untuk mereset sandi admin sistem:

  1. Di node UI, hentikan UI Edge:
    &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Di Server Pengelolaan, jalankan perintah berikut untuk mereset sandi:
    &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service edge-management-server {i>change_sysadmin_password<i} -o currentPW -n newPW
  3. Edit file konfigurasi senyap yang Anda gunakan untuk menginstal UI Edge untuk mengatur hal berikut properti:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y

    Perhatikan bahwa Anda harus menyertakan properti SMTP saat meneruskan sandi baru karena semua properti pada UI diatur ulang.
  4. Menggunakan apigee-setup utilitas untuk menyetel ulang sandi di UI Edge dari file konfigurasi:
    &gt; /<inst_root>/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. Mulai UI Edge pada node UI:
    &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service edge-ui start
  6. (Hanya jika TLS diaktifkan di UI) Aktifkan kembali TLS di UI Edge seperti yang dijelaskan dalam Mengonfigurasi TLS untuk UI pengelolaan.

Di lingkungan Replikasi OpenLDAP dengan beberapa Server Pengelolaan, mereset sandi di satu Server Pengelolaan akan memperbarui Server Pengelolaan lainnya secara otomatis. Namun, Anda harus memperbarui semua node UI Edge secara terpisah.

Reset Sandi Pengguna Organisasi

Untuk mereset sandi pengguna organisasi, gunakan utilitas apigee-servce untuk memanggil apigee-setup:

/<inst_root>/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Contoh:

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

Di bawah ini adalah contoh file konfigurasi yang dapat Anda gunakan dengan "-f" opsi:

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

Anda juga dapat menggunakan API Update user untuk mengubah {i>password<i} pengguna.

Sandi Pengguna Organisasi dan Admin Sistem Aturan

Gunakan bagian ini untuk menerapkan tingkat panjang dan kekuatan sandi yang diinginkan untuk API Anda Google Workspace for Education. Setelan menggunakan serangkaian setelan reguler yang telah dikonfigurasi (dan diberi nomor unik) ekspresi untuk memeriksa isi {i>password<i} (seperti huruf besar, huruf kecil, angka, dan karakter). Tulis setelan ini ke /&lt;inst_root&gt;/apigee/customer/application/management-server.properties . Jika file tersebut tidak ada, buat file tersebut.

Setelah mengedit management-server.properties, mulai ulang server pengelolaan:

> /<inst_root>/apigee/apigee-service/bin/apigee-service edge-management-server restart

Lalu, Anda dapat menetapkan peringkat kekuatan sandi dengan mengelompokkan berbagai kombinasi reguler ekspresi. Misalnya, Anda dapat menentukan bahwa {i>password<i} dengan setidaknya satu huruf besar dan satu huruf kecil mendapat peringkat kekuatan "3", tetapi {i>password<i} dengan setidaknya satu huruf kecil huruf dan satu angka akan mendapat peringkat "4" yang lebih kuat.

Properti

Deskripsi

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

Gunakan ini untuk menentukan karakteristik keseluruhan {i>password<i} yang valid. Default rating minimum untuk kekuatan sandi (akan dijelaskan nanti dalam tabel) adalah 3.

Perhatikan bahwa password.validation.default.rating=2 lebih rendah dari rating minimum diperlukan, yang berarti jika {i>password<i} yang dimasukkan tidak sesuai dengan aturan mengkonfigurasi, kata sandi diberi nilai 2 dan karenanya tidak valid (di bawah peringkat minimum dari 3).

Berikut adalah ekspresi reguler yang mengidentifikasi karakteristik sandi. Catatan bahwa masing-masing diberi nomor. Misalnya, "password.validation.regex.5=..." bernilai ekspresi nomor 5. Anda akan menggunakan nomor ini di bagian selanjutnya dari file untuk menetapkan kombinasi berbeda yang menentukan kekuatan sandi secara keseluruhan.

conf_security_password.validation.regex.1=^(.)\\1+$

1 – Semua karakter diulang

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – Minimal satu huruf kecil

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – Minimal satu huruf besar

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – Minimal satu digit

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – Minimal satu karakter khusus (tidak termasuk garis bawah _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – Minimal satu garis bawah

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 – Lebih dari satu huruf kecil

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – Lebih dari satu huruf besar

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – Lebih dari satu digit

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – Lebih dari satu karakter khusus (tidak termasuk garis bawah)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – Lebih dari satu garis bawah

Aturan berikut menentukan kekuatan sandi berdasarkan isi sandi. Setiap aturan mencakup satu atau beberapa ekspresi reguler dari bagian sebelumnya dan menetapkan kekuatan numerik untuknya. Kekuatan numerik {i>password<i} dibandingkan dengan conf_security_password.validation.minimum.rating.wajib nomor di bagian atas file ini untuk menentukan apakah sandi valid atau tidak.

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

Setiap aturan diberi nomor. Misalnya, "password.validation.rule.3=..." adalah aturan nomor 3.

Setiap aturan menggunakan format berikut (di kanan tanda sama dengan):

&lt;regex-index-list&gt;,&lt;AND|OR&gt;,&lt;rating&gt;

regex-index-list adalah daftar ekspresi reguler (berdasarkan angka dari di bagian sebelumnya), bersama dengan operator AND|OR (artinya, pertimbangkan semua atau salah satu ekspresi yang tercantum).

rating adalah rating kekuatan numerik yang diberikan untuk setiap aturan.

Misalnya, aturan 5 berarti setiap {i>password<i} dengan setidaknya satu karakter khusus ATAU satu garis bawah mendapatkan nilai kekuatan 4. Dengan password.validation.minimum.
rating.required=3 di bagian atas file, {i>password<i} dengan peringkat 4 adalah valid.

conf_security_rbac.password.validation.enabled=true

Menyetel validasi sandi kontrol akses berbasis peran ke salah saat single sign-on (SSO) diaktifkan. Defaultnya adalah true (benar).

Mereset sandi Cassandra

Secara default, Cassandra mengirim dengan autentikasi yang dinonaktifkan. Jika Anda mengaktifkan otentikasi, menggunakan pengguna standar bernama 'cassandra' dengan sandi 'cassandra'. Anda dapat menggunakan akun ini, mengatur {i>password<i} yang berbeda untuk akun ini, atau membuat pengguna Cassandra baru. Menambahkan, menghapus, dan memodifikasi pengguna menggunakan pernyataan Cassandra CREATE/ALTER/DROP USER.

Untuk informasi tentang cara mengaktifkan autentikasi Cassandra, lihat Mengaktifkan autentikasi Cassandra.

Untuk mereset sandi Cassandra, Anda harus:

  • Setel sandi di salah satu node Cassandra dan ini akan disiarkan ke semua Cassandra node di dalam cincin
  • Mengupdate Server Pengelolaan, Prosesor Pesan, {i>Router<i}, server Qpid, server Postgres, dan BaaS Stack di setiap node dengan sandi baru

Untuk informasi selengkapnya, lihat http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Untuk mereset sandi Cassandra:

  1. Login ke salah satu node Cassandra menggunakan alat cqlsh dan setelan default memiliki kredensial yang lengkap. Anda hanya perlu mengubah {i>password<i} di satu {i>node<i} Cassandra dan hal itu akan disiarkan ke semua node Cassandra di cincin:
    &gt; /<inst_root>/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u kassandra -p cassandra

    Di mana:
    • cassIP adalah alamat IP alamat node Cassandra.
    • 9042 adalah Cassandra porta.
    • Pengguna default-nya adalah cassandra.
    • Sandi defaultnya adalah cassandra. Jika Anda mengubah sandi sebelumnya, gunakan {i> password<i} saat ini.
  2. Jalankan perintah berikut sebagai prompt cqlsh&gt; untuk memperbarui sandi:
    cqlsh&gt; ALTER USER cassandra DENGAN SANDI 'NEW_PASSWORD';

    Jika sandi baru berisi satu karakter tanda kutip, ganti sandi dengan mengawalinya dengan satu karakter kutipan.
  3. Tutup alat cqlsh:
    cqlsh&gt; keluar
  4. Pada node Server Pengelolaan, jalankan perintah berikut:
    &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Secara opsional, Anda dapat meneruskan file ke perintah yang berisi nama pengguna dan sandi baru:
    &gt; apigee-service edge-management-server store_cassandra_credentials -f configFile

    Yang mana configFile berisi berikut:
    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD

    Perintah ini otomatis memulai ulang Server Pengelolaan.
  5. Ulangi langkah 4 pada:
    • Semua Pemroses Pesan
    • Semua Router
    • Semua server Qpid (edge-qpid-server)
    • Server postgres (server-edge-postgres)
  6. Pada node BaaS Stack untuk versi 4.16.05.04 dan yang lebih baru:
    1. Jalankan perintah berikut untuk membuat sandi terenkripsi:
      &gt; /opt/apigee/apigee-service/bin/apigee-service baas-usergrid sandi_aman

      Perintah ini meminta Anda memasukkan {i>password<i} teks polos dan mengembalikan {i>password<i} terenkripsi formulir:
      AMAN:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. Tetapkan token berikut di /opt/apigee/customer/application/usergrid.properties. Jika file tersebut tidak ada, buat:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050

      Contoh ini menggunakan nama pengguna default untuk Cassandra. Jika Anda mengubah nama pengguna, setel nilai usergrid-deployment_cassandra.username.

      Pastikan Anda mencantumkan "AMAN:" pada sandi. Jika tidak, Stack BaaS akan menafsirkan nilai tersebut sebagai tidak dienkripsi.

      Catatan: Setiap node BaaS Stack memiliki kunci unik yang digunakan untuk mengenkripsi {i>password<i}. Oleh karena itu, Anda harus menghasilkan nilai terenkripsi di setiap node BaaS Stack secara terpisah.
    3. Ubah kepemilikan file usergrid.properties ke 'apigee' pengguna:
      &gt; anak ayam apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Konfigurasi node Stack:
      &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid konfigurasi
    5. Mulai ulang Stack BaaS:
      &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid mulai ulang
    6. Ulangi langkah-langkah ini untuk semua anggukan BaaS Stack.

Sandi Cassandra sekarang telah diubah.

Mereset sandi PostgreSQL

Secara default, database PostgreSQL memiliki dua pengguna yang ditentukan: 'postgres' dan 'apigee'. Kedua pengguna memiliki sandi default 'postgres'. Gunakan prosedur berikut untuk mengubah {i>password<i} {i>default<i}.

Ubah sandi di semua node master Postgres. Jika Anda memiliki dua server Postgres yang dikonfigurasi dalam mode master/standby, maka Anda hanya perlu mengubah {i>Password<i} pada {i>node<i} master. Lihat Menyiapkan Replikasi Standby Master untuk Postgres untuk informasi selengkapnya.

  1. Pada node Master Postgres, ubah direktori ke /&lt;inst_root&gt;/apigee/apigee-postgresql/pgsql/bin, di mana /&lt;inst_root&gt; setelan defaultnya adalah /opt.
  2. Tetapkan 'postgres' PostgreSQL sandi pengguna:
    1. Login ke database PostgreSQL menggunakan perintah:
      &gt; {i>psql -h localhost -d apigee<i} -U Postgres
    2. Jika diminta, masukkan 'postgres' {i>password<i} pengguna sebagai 'postgres'.
    3. Di command prompt PostgreSQL, masukkan perintah berikut untuk mengubah sandi:
      apigee=&gt; ALTER Postgres PENGGUNA DENGAN SANDI 'apigee1234';
    4. Keluar dari database PostgreSQL menggunakan perintah:
      apigee=&gt; \q
  3. Menetapkan 'apigee' PostgreSQL sandi pengguna:
    1. Login ke database PostgreSQL menggunakan perintah:
      &gt; {i>psql -h localhost -d apigee<i} -U apigee
    2. Saat diminta, masukkan 'apigee' {i>password<i} pengguna sebagai 'postgres'.
    3. Di command prompt PostgreSQL, masukkan perintah berikut untuk mengubah sandi:
      apigee=&gt; GANTI API PENGGUNA DENGAN SANDI 'apigee1234';
    4. Keluar dari database PostgreSQL menggunakan perintah:
      apigee=&gt; \q
  4. Tetapkan APIGEE_HOME:
    &gt; ekspor APIGEE_HOME=/&lt;inst_root&gt;/apigee/edge-postgres-server
  5. Enkripsi sandi baru:
    &gt; sh /&lt;inst_root&gt;/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Perintah ini akan menampilkan sandi terenkripsi seperti yang ditunjukkan di bawah. {i>Password<i} yang terenkripsi dimulai setelah ":" karakter khusus dan tidak menyertakan ":".
    String yang dienkripsi :WheaR8U4OeMEM11erxA3Cw==
  6. Memperbarui node Server Pengelolaan dengan sandi terenkripsi baru untuk 'postgres' dan 'apigee' pelanggan.
    1. Di Server Pengelolaan, ubah direktori ke /&lt;inst_root&gt;/apigee/customer/application.
    2. Edit file management-server.properties untuk tetapkan properti berikut. Jika file ini tidak ada, buat:
      Catatan: Beberapa properti mengambil file 'postgres' terenkripsi sandi pengguna, dan beberapa mengambil file 'apigee' yang terenkripsi nama {i>password<i}.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Pastikan file dimiliki oleh 'apigee' pengguna:
      &gt; {i>chown apigee:apigee<i} management-server.properties
  7. Update semua node Server Postgres dan Server Qpid dengan sandi terenkripsi baru.
    1. Pada node Postgres Server atau Qpid Server, ubah direktori ke /&lt;inst_root&gt;/apigee/customer/application.
    2. Edit file berikut. Jika file ini tidak ada, buat file tersebut:
      • postgres-server.properties
      • qpid-server.properties
    3. Tambahkan properti berikut ke file:
      Catatan: Semua properti ini menggunakan 'postgres' yang terenkripsi {i>password<i} pengguna.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Pastikan file dimiliki oleh 'apigee' pengguna:
      &gt; {i>chown apigee:apigee<i} postgres-server.properties
      &gt; chown apigee:apigee qpid-server.properties
  8. Mulai ulang komponen berikut dalam urutan ini:
    1. Database PostgreSQL:
      &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-postgresql mulai ulang
    2. Server Qpid:
      &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service edge-qpid-server mulai ulang
    3. Server Postgres:
      &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service edge-postgres-server mulai ulang
    4. Server Pengelolaan:
      &gt; /<inst_root>/apigee/apigee-service/bin/apigee-service edge-management-server mulai ulang