Edge for Private Cloud v. 4.16.09
Puedes restablecer OpenLDAP, el administrador del sistema de Apigee Edge, el usuario de la organización de Edge y Contraseñas de Cassandra después de que se completa la instalación
Restablecer la contraseña de OpenLDAP
Según la configuración de Edge, se puede instalar OpenLDAP de las siguientes maneras:
- Una única instancia de OpenLDAP instalada en el nodo del servidor de administración. Por ejemplo, en una Configuración perimetral de 2, 5 y 9 nodos.
- Varias instancias de OpenLDAP instaladas en los nodos del servidor de administración, configuradas con OpenLDAP la replicación. Por ejemplo, en una configuración de Edge de 12 nodos.
- Varias instancias de OpenLDAP instaladas en sus propios nodos, configuradas con OpenLDAP la replicación. Por ejemplo, en una configuración de Edge de 13 nodos.
La forma de restablecer la contraseña de OpenLDAP depende de tu configuración.
En el caso de una sola instancia de OpenLDAP instalada en el servidor de administración, realiza la lo siguiente:
- En el nodo del servidor de administración, ejecuta el siguiente comando para crear el nuevo OpenLDAP
contraseña:
> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-openldap cambiar-ldap-contraseña -o antiguaPword -n nuevaPpalabra - Ejecuta el siguiente comando para almacenar la nueva contraseña a fin de que acceda la Administración
Servidor:
> /<inst_root>/apigee/apigee-service/bin/apigee-service perimetral-management-server store_ldap_credentials -p newPword
Este comando reinicia el servidor de administración.
En una configuración de replicación de OpenLDAP con OpenLDAP instalado en el servidor de administración , sigue los pasos anteriores en ambos nodos del servidor de administración para actualizar contraseña.
En una configuración de replicación de OpenLDAP con OpenLDAP ubicado en un nodo que no sea de administración en Google Cloud, asegúrate de cambiar primero la contraseña en ambos nodos de OpenLDAP del servidor de administración.
Restablecer la contraseña del administrador del sistema
Para restablecer la contraseña de administrador del sistema, debes restablecerla en dos lugares:
- Servidor de administración
- IU
Advertencia: Debes detener la IU de Edge antes de restablecer el administrador del sistema contraseña. Debido a que primero restableces la contraseña en el servidor de administración, puede haber una durante el cual la IU aún usa la contraseña anterior. Si la IU realiza más de tres llamadas con la contraseña anterior, el servidor OpenLDAP bloquea la cuenta de administrador del sistema durante tres minutos.
Para restablecer la contraseña del administrador del sistema:
- En el nodo de la IU, detén la IU de Edge:
> Detención de /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-ui - En el servidor de administración, ejecuta el siguiente comando para restablecer la contraseña:
> /<inst_root>/apigee/apigee-service/bin/apigee-service perimetral-management-server change_sysadmin_password -o currentPW -n newPW - Edita el archivo de configuración silencioso que usaste para instalar la IU de Edge y establece lo siguiente
propiedades:
APIGEE_ADMINPW=newPW
SMTPHOST=smtp.gmail.com
puerto SMTP=465
SMTPUSER=foo@gmail.com
SMTPPASSWORD=bar
SMTPSSL=y
Cuando pases la contraseña nueva, deberás incluir las propiedades de SMTP, ya que todas las propiedades en la IU. - Usa apigee-setup
para restablecer la contraseña en la IU de Edge desde el archivo de configuración:
> /<inst_root>/apigee/apigee-setup/bin/setup.sh -p ui -f configFile - Inicia la IU de Edge en el nodo de la IU:
> /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-ui start - Vuelve a habilitar TLS en la IU de Edge como se describe en Configura TLS para la IU de administración (solo si TLS está habilitado en la IU).
En un entorno de replicación de OpenLDAP con varios servidores de administración, restablecer la contraseña en un servidor de administración actualiza el otro automáticamente. Sin embargo, debes actualizar todos los nodos de la IU de Edge por separado.
Restablecer la contraseña de usuario de la organización
Para restablecer la contraseña de un usuario de la organización, usa la utilidad Apigee-servce para invocar apigee-setup:
/<inst_root>/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
Por ejemplo:
> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword
A continuación, se muestra un ejemplo de un archivo de configuración que puedes usar con “-f” opción:
USER_NAME= user@myCo.com USER_PWD= "foo12345" APIGEE_ADMINPW= adminPword
También puedes usar la API de Update user para cambiar la contraseña del usuario.
Contraseña del administrador de sistemas y usuario de la organización Reglas
Utiliza esta sección para aplicar el nivel deseado de longitud y seguridad de la contraseña para tu API. usuarios de administración. Los parámetros de configuración usan una serie de registros regulares preconfigurados (y numerados de forma única) expresiones para verificar el contenido de la contraseña (por ejemplo, mayúsculas, minúsculas, números y caracteres). Escribe esta configuración en /<inst_root>/apigee/customer/application/management-server.properties . Si ese archivo no existe, créalo.
Después de editar management-server.properties, reinicia la servidor de administración:
> /<inst_root>/apigee/apigee-service/bin/apigee-service edge-management-server restart
Luego, puedes definir la clasificación de la seguridad de las contraseñas agrupando diferentes combinaciones de códigos con expresiones regulares. Por ejemplo, puedes determinar que una contraseña con al menos una mayúscula y una una letra minúscula obtiene una calificación de seguridad de "3", pero una contraseña con al menos una letra minúscula una letra y un número recibe una calificación más alta de "4".
Propiedades |
Descripción |
---|---|
conf_security_password.validation.minimum. conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum. |
Úsalas para determinar las características generales de las contraseñas válidas. Predeterminado la calificación mínima para la seguridad de la contraseña (descrita más adelante en la tabla) es 3. Ten en cuenta que password.validation.default.rating=2 es inferior a la calificación mínima. obligatorio, lo que significa que, si la contraseña ingresada no se ajusta a las reglas que configurar, la contraseña tiene una calificación de 2 y, por lo tanto, no es válida (por debajo del valor de 3). |
A continuación, se muestran expresiones regulares que identifican las características de las contraseñas. Nota que cada uno esté numerado. Por ejemplo, “password.validation.regex.5=...” es la expresión número 5. Usarás estos números en una sección posterior del archivo para establecer y combinaciones diferentes que determinan la seguridad general de las contraseñas. |
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1: Se repiten todos los caracteres. |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: Al menos una letra minúscula |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3 – Al menos una letra mayúscula |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: Al menos un dígito |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: Al menos un carácter especial (sin incluir el guion bajo _) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: Al menos un guion bajo |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7 – Más de una letra minúscula |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8 – Más de una letra mayúscula |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9: Más de un dígito |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10: Más de un carácter especial (sin incluir el guion bajo) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11: Más de un guion bajo |
Las siguientes reglas determinan la seguridad de las contraseñas en función de su contenido. Cada regla incluye una o más expresiones regulares de la sección anterior y asigna una fuerza numérica a él. La seguridad numérica de una contraseña se compara con la conf_security_password.validation.minimum.rating.required en la parte superior de este archivo para determinar si una contraseña es válida o no. |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,O,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
Cada regla está numerada. Por ejemplo: “password.validation.rule.3=...” es la regla número 3. Cada regla utiliza el siguiente formato (a la derecha del signo igual): <regex-index-list>,<AND|OR>,<rating> regex-index-list es la lista de expresiones regulares (por número desde la sección anterior), junto con un operador AND|OR (es decir, considera todas o algunas de las expresiones enumeradas). rating es la calificación de la solidez numérica que se le da a cada regla. Por ejemplo, la regla 5 significa que cualquier contraseña con al menos un carácter especial O uno
guion bajo obtiene una calificación de fuerza de 4. Con password.validation.minimum. |
conf_security_rbac.password.validation.enabled=true |
Establecer la validación de la contraseña de control de acceso basada en roles como falsa cuando se inicia el inicio de sesión único (SSO) esté habilitado. La opción predeterminada es true. |
Restablece la contraseña de Cassandra
De forma predeterminada, Cassandra se envía con la autenticación inhabilitada. Si habilitas la autenticación, usa un usuario predefinido llamado 'Cassandra' con la contraseña "Cassandra". Puedes usar esta cuenta establece una contraseña diferente para esta cuenta o crea un nuevo usuario de Cassandra. Agregar, quitar y modificar usuarios con las instrucciones de Cassandra CREATE/ALTER/DROP USER.
Para obtener información sobre cómo habilitar la autenticación de Cassandra, consulta Habilita la autenticación de Cassandra.
Para restablecer la contraseña de Cassandra, debes hacer lo siguiente:
- Establece la contraseña en cualquier nodo de Cassandra y se transmitirá a todos los nodos de Cassandra. nodos en el cuadrilátero
- Actualizar el servidor de administración, los procesadores de mensajes, los routers, los servidores Qpid, los servidores de Postgres, y una pila de BaaS en cada nodo con la contraseña nueva
Para obtener más información, consulta http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.
Para restablecer la contraseña de Cassandra:
- Accede a cualquier nodo de Cassandra con la herramienta cqlsh y la predeterminada.
credenciales. Solo debes cambiar la contraseña de un nodo de Cassandra y será
transmitir a todos los nodos de Cassandra del anillo:
> /<inst_root>/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u Cassandra -p cassandra
Dónde:- cassIP es la IP del nodo de Cassandra.
- 9042 es la Cassandra puerto de red.
- El usuario predeterminado es Cassandra.
- La contraseña predeterminada es Cassandra. Si cambiaste la contraseña anteriormente, usa la contraseña actual.
- Ejecuta el siguiente comando como símbolo del sistema cqlsh> para actualizar la
contraseña:
cqlsh> ALTERA DE USUARIO Cassandra CON PASSWORD “NEW_PASSWORD”;
Si la nueva contraseña contiene un carácter de comilla simple, escápate antes de la contraseña con una sola entre comillas. - Sal de la herramienta cqlsh:
cqlsh> salir - En el nodo del servidor de administración, ejecuta el siguiente comando:
> /<inst_root>/apigee/apigee-service/bin/apigee-service perimetral-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
De manera opcional, puedes pasar un archivo al comando que contiene el nombre de usuario y la contraseña nuevos:
> apigee-service cliente-de-administración-del-extremo store_credenciales_de_cassandra -f configFile
En el que configFile contiene los lo siguiente:
CASS_USERNAME=CASS_USERNAME
CASS_PASSWORD=CASS_PASSWROD
Este comando reinicia automáticamente el servidor de administración. - Repite el paso 4 en:
- Todos los procesadores de mensajes
- Todos los routers
- Todos los servidores Qpid (edge-qpid-server)
- Servidores Postgres (edge-postgres-server)
- En el nodo de pila de BaaS para la versión 4.16.05.04 y posteriores:
- Ejecuta el siguiente comando para generar una contraseña encriptada:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password
Este comando te solicita la contraseña en texto sin formato y devuelve la contraseña encriptada en el formulario:
SEGURO:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050 - Configura los siguientes tokens en /opt/apigee/customer/application/usergrid.properties.
Si no existe ese archivo, créalo:
usergrid-deployment_cassandra.username=cassandra
usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
En este ejemplo, se usa el nombre de usuario predeterminado de Cassandra. Si cambiaste el nombre de usuario, establece el de usergrid-deployment_cassandra.username según corresponda.
Asegúrate de incluir el parámetro “SECURE:” de la contraseña. De lo contrario, la pila de BaaS interpretará el valor como no encriptado.
Nota: Cada nodo de pila de BaaS tiene su propia clave única que se usa para encriptar los contraseña. Por lo tanto, debes generar el valor encriptado en cada nodo de la pila de BaaS por separado. - Cambia la propiedad del archivo usergrid.properties a la
“Apigee” usuario:
> chown apigee:apigee /opt/apigee/customer/application/usergrid.properties - Configura el nodo de pila:
> /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid configurar - Reinicia la pila de BaaS:
> /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid reiniciar - Repite estos pasos para todos los asentimientos de la pila de BaaS.
- Ejecuta el siguiente comando para generar una contraseña encriptada:
Se cambió la contraseña de Cassandra.
Restablece la contraseña de PostgreSQL
De forma predeterminada, la base de datos de PostgreSQL tiene dos usuarios definidos: 'postgres'. y “Apigee”. Ambos usuarios tienen la contraseña predeterminada "postgres". Usa el siguiente procedimiento para cambiar contraseña predeterminada.
Cambia la contraseña en todos los nodos principales de Postgres. Si tienes dos servidores de Postgres configurados en modo principal/en espera, solo deberá cambiar la contraseña del nodo principal. Consulta Configura la replicación principal-en espera para Postgres para obtener más información.
- En el nodo de instancia principal Postgres, cambie el directorio a /<inst_root>/apigee/apigee-postgresql/pgsql/bin. donde /<inst_root> La configuración predeterminada es /opt.
- Configura el “postgres” de PostgreSQL contraseña de usuario:
- Accede a la base de datos de PostgreSQL con el comando
. > psql -h localhost -d apigee - Postgres de U - Cuando se te solicite, ingresa el archivo “postgres” y la contraseña de usuario como 'postgres'.
- En el símbolo del sistema de PostgreSQL, ingresa el siguiente comando para cambiar la configuración
contraseña:
apigee=> ALTERAR POSTGRES DE USUARIO CON CONTRASEÑA “apigee1234”; - Sal de la base de datos de PostgreSQL con el siguiente comando:
apigee=> \q
- Accede a la base de datos de PostgreSQL con el comando
- Configura el entorno de “Apigee” contraseña de usuario:
- Accede a la base de datos de PostgreSQL con el comando
. > psql -h localhost -d apigee - Apigee - Cuando se te solicite, ingresa el permiso y la contraseña de usuario como 'postgres'.
- En el símbolo del sistema de PostgreSQL, ingresa el siguiente comando para cambiar la configuración
contraseña:
apigee=> ALTERAR el Apigee de USUARIO CON PASSWORD “apigee1234”; - Sal de la base de datos de PostgreSQL con el siguiente comando:
apigee=> \q
- Accede a la base de datos de PostgreSQL con el comando
- Establece APIGEE_HOME:
> exportar APIGEE_HOME=/<inst_root>/apigee/edge-postgres-server - Encriptar la contraseña nueva:
> mi /<inst_root>/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
Este comando devuelve la contraseña encriptada como se muestra a continuación. La contraseña encriptada comienza después del “:” carácter y no incluye el “:”.
Cadena encriptada :WheaR8U4OeMEM11erxA3Cw== - Actualizar el nodo del servidor de administración con las nuevas contraseñas encriptadas del
"postgres" y “Apigee” usuarios.
- En el servidor de administración, cambia el directorio a /<inst_root>/apigee/customer/application.
- Edita el archivo management-server.properties para
establece las siguientes propiedades. Si este archivo no existe, créalo:
Nota: Algunas propiedades toman el elemento encriptado “postgres” y, en algunos casos, usan el permiso de “Apigee” encriptado usuario contraseña.- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- Asegúrate de que el archivo sea propiedad de “apigee” usuario:
> chown apigee:apigee management-server.properties
- Actualiza todos los nodos del servidor Postgres y Qpid con la nueva contraseña encriptada.
- En el nodo del servidor Postgres o Qpid, cambia el directorio a /<inst_root>/apigee/customer/application.
- Edita los siguientes archivos. Si estos archivos no existen, créalos:
- postgres-server.properties
- qpid-server.properties
- Agrega las siguientes propiedades a los archivos:
Nota: Todas estas propiedades toman “postgres” encriptado contraseña de usuario.- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- Asegúrate de que los archivos sean propiedad de “apigee” usuario:
> chown apigee:apigee postgres-server.properties
> chown apigee:apigee qpid-server.properties
- Reinicia los siguientes componentes en este orden:
- Base de datos de PostgreSQL:
> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-postgresql reiniciar - Servidor Qpid:
> /<inst_root>/apigee/apigee-service/bin/apigee-service perimetral-qpid-server reiniciar - Servidor de Postgres:
> /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-postgres-server reiniciar - Servidor de administración:
> /<inst_root>/apigee/apigee-service/bin/apigee-service perimetral-management-server reiniciar
- Base de datos de PostgreSQL: