Edge para nuvem privada v. 4.16.09
Redefina as senhas do OpenLDAP, do administrador do sistema Apigee Edge, do usuário da organização do Edge e do Cassandra após a conclusão da instalação.
Redefinir senha do OpenLDAP
Dependendo da configuração do Edge, o OpenLDAP pode ser instalado como:
- Uma única instância do OpenLDAP instalada no nó do servidor de gerenciamento. Por exemplo, em uma configuração de borda com 2, 5 ou 9 nós.
- Várias instâncias do OpenLDAP instaladas nos nós do servidor de gerenciamento, configuradas com a replicação OpenLDAP. Por exemplo, em uma configuração de borda de 12 nós.
- Várias instâncias do OpenLDAP instaladas nos próprios nós, configuradas com replicação OpenLDAP. Por exemplo, em uma configuração de borda de 13 nós.
A maneira de redefinir a senha do OpenLDAP depende da sua configuração.
Para uma única instância do OpenLDAP instalada no servidor de gerenciamento, faça o seguinte:
- No nó "Servidor de gerenciamento", execute o seguinte comando para criar a nova senha do OpenLDAP:
> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword - Execute o seguinte comando para armazenar a nova senha de acesso pelo Servidor de Gerenciamento:
> /<inst_root>/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword
Este comando reinicia o servidor de gerenciamento.
Em uma configuração de replicação OpenLDAP com o OpenLDAP instalado nos nós do servidor de gerenciamento, siga as etapas acima nos dois nós para atualizar a senha.
Em uma configuração de replicação OpenLDAP com o OpenLDAP em um nó diferente do servidor de gerenciamento, primeiro altere a senha nos dois nós do OpenLDAP e depois nos dois.
Redefinir senha do administrador do sistema
Para redefinir a senha do administrador do sistema, você precisa redefinir a senha em dois locais:
- Servidor de gerenciamento
- Interface
Aviso: interrompa a interface do Edge antes de redefinir a senha do administrador do sistema. Como você redefine a senha primeiro no servidor de gerenciamento, pode haver um curto período de tempo em que a IU ainda está usando a senha antiga. Se a IU fizer mais de três chamadas usando a senha antiga, o servidor OpenLDAP bloqueará a conta de administrador do sistema por três minutos.
Para redefinir a senha do administrador do sistema:
- No nó da IU, pare a interface do Edge:
> /<inst_root>/apigee/apigee-service/bin/apigee-serviceedge-ui stop - No servidor de gerenciamento, execute o seguinte comando para redefinir a senha:
> /<inst_root>/apigee/apigee-service/bin/apigee-serviceq-management-server change_sysadmin_password -o currentPW -n newPW - Edite o arquivo de configuração silenciosa que você usou para instalar a interface do Edge para definir as seguintes
propriedades:
APIGEE_ADMINPW=newPW
SMTPHOST=smtp.gmail.com
SMTPPORT=465
SMTPUSER=foo@gmail.com
SMTP=bar
SMTPSSL=y
É necessário incluir as propriedades do SMTP na nova senha. - Use o utilitário apigee-setup
para redefinir a senha na interface do Edge a partir do arquivo de configuração:
> /<inst_root>/apigee/apigee-setup/bin/setup.sh -p ui -f configFile - Inicie a IU do Edge no nó da IU:
> /<inst_root>/apigee/apigee-service/bin/apigee-serviceedge-ui start - (Somente se o TLS estiver ativado na interface) Reative o TLS na interface do Edge, conforme descrito em Como configurar o TLS para a interface de gerenciamento.
Em um ambiente de replicação OpenLDAP com vários servidores de gerenciamento, a redefinição da senha em um servidor de gerenciamento atualiza o outro automaticamente. No entanto, você precisa atualizar todos os nós da IU do Edge separadamente.
Redefinir senha do usuário da organização
Para redefinir a senha de um usuário da organização, use o utilitário apigee-servce para invocar apigee-setup:
/<inst_root>/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
Exemplo:
> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword
Confira abaixo um exemplo de arquivo de configuração que pode ser usado com a opção "-f":
USER_NAME= user@myCo.com USER_PWD= "foo12345" APIGEE_ADMINPW= adminPword
Também é possível usar a API Update user para alterar a senha do usuário.
Regras de senha do administrador do sistema e do usuário da organização
Use esta seção para aplicar um nível desejado de tamanho e força da senha aos usuários do gerenciamento de API. As configurações usam uma série de expressões regulares pré-configuradas, numeradas de maneira exclusiva, para verificar o conteúdo da senha, como letras maiúsculas, minúsculas, números e caracteres especiais. Grave essas configurações no arquivo /<inst_root>/apigee/customer/application/management-server.properties. Se esse arquivo não existir, crie-o.
Depois de editar management-server.properties, reinicie o servidor de gerenciamento:
> /<inst_root>/apigee/apigee-service/bin/apigee-service edge-management-server restart
Em seguida, defina classificações de nível de segurança da senha agrupando diferentes combinações de expressões regulares. Por exemplo, é possível determinar que uma senha com pelo menos uma letra maiúscula e uma letra minúscula tenha uma classificação de força de "3", mas que uma senha com pelo menos uma letra minúscula e um número tenha uma classificação mais forte de "4".
Propriedades |
Descrição |
---|---|
conf_security_password.validation.minimum. conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum. |
Use-as para determinar as características gerais das senhas válidas. A classificação mínima padrão para o nível da senha, descrita mais adiante na tabela, é 3. Observe que a password.validation.default.rating=2 é menor que a classificação mínima exigida, o que significa que, se a senha inserida não estiver dentro das regras configuradas, ela será classificada como 2 e, portanto, será inválida (abaixo da classificação mínima de 3). |
A seguir estão as expressões regulares que identificam as características da senha. Observe que cada um é numerado. Por exemplo, "password.validation.regex.5=..." é a expressão número 5. Você usará esses números em uma seção posterior do arquivo para definir combinações diferentes que determinam o nível geral da senha. |
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1 – Todos os caracteres se repetem |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2 – Pelo menos uma letra minúscula |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3 – Pelo menos uma letra maiúscula |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4 – Pelo menos um dígito |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5 – pelo menos um caractere especial (não incluindo o sublinhado _) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6 – Pelo menos um sublinhado |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7 – Mais de uma letra minúscula |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8 – Mais de uma letra maiúscula |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9 – Mais de um dígito |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10 – Mais de um caractere especial (sem sublinhado) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11 – Mais de um sublinhado |
As regras a seguir determinam o nível da senha com base no conteúdo. Cada regra inclui uma ou mais expressões regulares da seção anterior e atribui uma força numérica a ela. A força numérica de uma senha é comparada ao número conf_security_password.validation.minimum.rating.required no topo deste arquivo para determinar se ela é válida ou não. |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,E,4 conf_security_password.validation.rule.3=2,9,E,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
Cada regra é numerada. Por exemplo, "password.validation.rule.3=..." é a regra número 3. Cada regra usa o seguinte formato (à direita do sinal de igual): <regex-index-list>,<AND|OR>,<rating> regex-index-list é a lista de expressões regulares (por número da seção anterior), com um operador AND|OR (ou seja, considere todas ou qualquer uma das expressões listadas). rating é a classificação da força numérica dada a cada regra. Por exemplo, a regra 5 significa que qualquer senha com pelo menos um caractere especial OU um sublinhado recebe uma classificação de força de 4. Com password.validation.minimum. |
conf_security_rbac.password.validation.enabled=true |
Defina a validação de senha do controle de acesso baseado em papéis como falsa quando o logon único (SSO) estiver ativado. O padrão é verdadeiro. |
Redefinindo a senha do Cassandra
Por padrão, o Cassandra é enviado com a autenticação desativada. Se você ativar a autenticação, ela usará um usuário predefinido chamado 'cassandra' com uma senha 'cassandra'. Use essa conta, defina uma senha diferente ou crie um novo usuário do Cassandra. Adicione, remova e modifique usuários usando as instruções CREATE/ALTER/DROP USER do Cassandra.
Para saber como ativar a autenticação do Cassandra, consulte Ativar a autenticação do Cassandra.
Para redefinir a senha do Cassandra, você precisa:
- Defina a senha em qualquer nó do Cassandra, e ela vai ser transmitida para todos os nós do Cassandra no anel
- Atualize o servidor de gerenciamento, os processadores de mensagens, os roteadores, os servidores Qpid e os servidores Postgres e a pilha BaaS em cada nó com a nova senha
Para mais informações, consulte http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html (em inglês).
Para redefinir a senha do Cassandra:
- Faça login em qualquer nó do Cassandra usando a ferramenta cqlsh e as credenciais padrão. Você só precisa alterar a senha em um nó do Cassandra, e ela será
transmitida para todos os nós do Cassandra no anel:
> /<inst_root>/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra:
- cassIP é o endereço IP do nó do Cassandra.
- 9042 é a porta do Cassandra.
- O usuário padrão é cassandra.
- A senha padrão é cassandra. Se você mudou a senha anteriormente, use a atual.
- Execute o seguinte comando como o prompt cqlsh> para atualizar a
senha:
cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
Se a nova senha tiver um caractere de aspas simples, faça o escape adicionando um caractere de aspas simples. - Saia da ferramenta cqlsh:
cqlsh> exit - No nó do Servidor de gerenciamento, execute o seguinte comando:
> /<inst_root>/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
Opcionalmente, você pode transmitir um arquivo para o comando que contém o novo comando EDGE-credentials
USERNAME-management o comando que contém o novo nome de usuário e senha: - Repita a etapa 4 em:
- Todos os processadores de mensagens
- Todos os roteadores
- Todos os servidores Qpid (edge-qpid-server)
- Servidores Postgres (edge-postgres-server)
- No nó da pilha BaaS para a versão 4.16.05.04 e mais recentes:
- Execute o seguinte comando para gerar uma senha criptografada:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password
Este comando solicita a senha em texto simples e retorna a senha criptografada no formato:
SECURE:ae1b6dedbf6b26aaab81c7135a93f9 - Defina os tokens a seguir em /opt/apigee/customer/application/usergrid.properties.
Se esse arquivo não existir, crie-o:
usergrid-deployment_cassandra.username=cassandra
usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505b239e43
Se você alterou o nome de usuário, defina o valor de usergrid-deployment_cassandra.username corretamente.
Inclua o prefixo "SECURE:" na senha. Caso contrário, a pilha BaaS vai interpretar o valor como não criptografado.
Observação: cada nó da pilha BaaS tem a própria chave exclusiva usada para criptografar a senha. Portanto, você precisa gerar o valor criptografado em cada nó da pilha BaaS separadamente. - Mude a propriedade do arquivo usergrid.properties para o
usuário "apigee":
> chown apigee:apigee /opt/apigee/customer/application/usergrid.properties - Configure o nó "Stack":
> /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid configurar - Reinicie a pilha BaaS:
> /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid restart - Repita essas etapas para todas as confirmações da pilha BaaS.
- Execute o seguinte comando para gerar uma senha criptografada:
A senha do Cassandra foi alterada.
Redefinindo senha do PostgreSQL
Por padrão, o banco de dados PostgreSQL tem dois usuários definidos: "postgres" e "apigee". A senha padrão dos dois usuários é "postgres". Use o procedimento a seguir para alterar a senha padrão.
Altere a senha em todos os nós mestres do Postgres. Se você tiver dois servidores Postgres configurados no modo mestre/de espera, basta alterar a senha no nó mestre. Consulte Configurar replicação mestre em espera para Postgres (em inglês) para mais informações.
- No nó mestre do Postgres, mude o diretório para /<inst_root>/apigee/apigee-postgresql/pgsql/bin, em que /<inst_root> assume o padrão /opt.
- Defina a senha de usuário "postgres" do PostgreSQL:
- Faça login no banco de dados PostgreSQL usando o comando:
> HBase -h localhost -d apigee -U postgres - Quando solicitado, digite a senha de usuário "postgres" como "postgres".
- No prompt de comando do PostgreSQL, digite o seguinte comando para alterar a senha
padrão:
apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234'; - Saia do banco de dados PostgreSQL usando o comando:
apigee=> \q
- Faça login no banco de dados PostgreSQL usando o comando:
- Defina a senha do usuário "apigee" do PostgreSQL:
- Faça login no banco de dados PostgreSQL usando o comando:
> WebP -h localhost -d apigee -U apigee - Quando solicitado, digite a senha do usuário "apigee" como "postgres".
- No prompt de comando do PostgreSQL, digite o seguinte comando para alterar a senha
padrão:
apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234'; - Saia do banco de dados PostgreSQL usando o comando:
apigee=> \q
- Faça login no banco de dados PostgreSQL usando o comando:
- Defina APIGEE_HOME:
> export APIGEE_HOME=/<inst_root>/apigee/edge-postgres-server - Criptografe a nova senha:
> sh /<inst_root>/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
Este comando retorna a senha criptografada, conforme mostrado abaixo. A senha criptografada começa depois do caractere ":" e não inclui ":".
String criptografada :WheaR8U4OeMEM11erxA3Cw== - Atualize o nó do servidor de gerenciamento com as novas senhas criptografadas para os usuários "postgres" e "apigee".
- No Servidor de gerenciamento, mude o diretório para /<inst_root>/apigee/customer/application.
- Edite o arquivo management-server.properties para definir as propriedades a seguir. Se o arquivo não existir, crie-o:
Observação: algumas propriedades usam a senha do usuário encrypted "postgres" e outras usam a senha de usuário "apigee criptografada.- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- Verifique se o arquivo pertence ao usuário "apigee":
> chown apigee:apigee management-server.properties
- Atualize todos os nós dos servidores Postgres e Qpid Server com a nova senha criptografada.
- No nó dos servidores Postgres ou Qpid Server, mude o diretório para /<inst_root>/apigee/customer/application.
- Edite os arquivos a seguir. Crie esses arquivos se eles não existirem:
- postgres-server.properties
- qpid-server.properties (em inglês)
- Adicione as seguintes propriedades aos arquivos:
Observação: todas essas propriedades usam a senha do usuário criptografada "postgres".- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- Verifique se os arquivos pertencem ao usuário "apigee":
> chown apigee:apigee postgres-server.properties
> chown apigee:apigee qpid-server.properties
- Reinicie os seguintes componentes, nesta ordem:
- Banco de dados PostgreSQL:
> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-postgresql reiniciar - Servidor Qpid:
> /<inst_root>/apigee/apigee-service/bin/apigee-serviceedge-qpid-server restart - Servidor Postgres:
> /<inst_root>/apigee/apigee-service/bin/apigee-serviceedge-postgres-server restart - Servidor de gerenciamento:
> /<inst_root>/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Banco de dados PostgreSQL: