Сброс паролей Edge

Edge для частного облака v. 4.16.09

Вы можете сбросить пароли OpenLDAP, системного администратора Apigee Edge, пользователя организации Edge и Cassandra после завершения установки.

Сбросить пароль OpenLDAP

В зависимости от конфигурации Edge OpenLDAP можно установить следующим образом:

  • Один экземпляр OpenLDAP, установленный на узле Сервера управления. Например, в конфигурации Edge с 2, 5 или 9 узлами.
  • Несколько экземпляров OpenLDAP, установленных на узлах Management Server, настроенных с использованием репликации OpenLDAP. Например, в конфигурации Edge с 12 узлами.
  • Несколько экземпляров OpenLDAP, установленных на отдельных узлах, настроенных с использованием репликации OpenLDAP. Например, в конфигурации Edge с 13 узлами.

Способ сброса пароля OpenLDAP зависит от вашей конфигурации.

Для одного экземпляра OpenLDAP, установленного на Сервере управления, выполните следующие действия:

  1. На узле Сервер управления выполните следующую команду, чтобы создать новый пароль OpenLDAP:
    > /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-openldapchange-ldap-password -o oldPword -n newPword
  2. Выполните следующую команду, чтобы сохранить новый пароль для доступа к Серверу управления:
    > /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-management-server store_ldap_credentials -p newPword

    Эта команда перезапускает Сервер управления.

В настройке репликации OpenLDAP, когда OpenLDAP установлен на узлах сервера управления , выполните указанные выше действия на обоих узлах сервера управления, чтобы обновить пароль.

При настройке репликации OpenLDAP, когда OpenLDAP находится на узле, отличном от Сервера управления , убедитесь, что вы сначала изменили пароль на обоих узлах OpenLDAP, а затем на обоих узлах Сервера управления.

Сбросить пароль системного администратора

Для сброса пароля системного администратора необходимо сбросить пароль в двух местах:

  • Сервер управления
  • пользовательский интерфейс

Предупреждение . Перед сбросом пароля системного администратора следует остановить пользовательский интерфейс Edge. Поскольку сначала вы сбрасываете пароль на сервере управления, может пройти небольшой период времени, когда пользовательский интерфейс все еще будет использовать старый пароль. Если пользовательский интерфейс выполняет более трех вызовов с использованием старого пароля, сервер OpenLDAP блокирует учетную запись системного администратора на три минуты.

Чтобы сбросить пароль системного администратора:

  1. На узле пользовательского интерфейса остановите пользовательский интерфейс Edge:
    > /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-UI stop
  2. На сервере управления выполните следующую команду, чтобы сбросить пароль:
    > /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-Management-Server Change_sysadmin_password -o CurrentPW -n NewPW
  3. Отредактируйте автоматический файл конфигурации, который вы использовали для установки пользовательского интерфейса Edge, чтобы установить следующие свойства:
    APIGEE_ADMINPW=новыйPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=бар
    СМТПССЛ=у


    Обратите внимание, что вам необходимо включить свойства SMTP при передаче нового пароля, поскольку все свойства пользовательского интерфейса сбрасываются.
  4. Используйте утилиту apigee-setup для сброса пароля в пользовательском интерфейсе Edge из файла конфигурации:
    > /<inst_root>/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. Запустите пользовательский интерфейс Edge на узле пользовательского интерфейса:
    > /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-UI start
  6. (Только если TLS включен в пользовательском интерфейсе) Повторно включите TLS в пользовательском интерфейсе Edge, как описано в разделе Настройка TLS для пользовательского интерфейса управления .

В среде репликации OpenLDAP с несколькими серверами управления сброс пароля на одном сервере управления автоматически обновляет другой сервер управления. Однако вам придется обновить все узлы Edge UI отдельно.

Сбросить пароль пользователя организации

Чтобы сбросить пароль для пользователя организации, используйте утилиту apigee-service для вызова apigee-setup:

/<inst_root>/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Например:

> /<inst_root>/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword 

Ниже показан пример файла конфигурации, который можно использовать с опцией «-f»:

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

Вы также можете использовать API обновления пользователя , чтобы изменить пароль пользователя.

Правила использования пароля системного администратора и организации

Используйте этот раздел, чтобы обеспечить желаемый уровень длины и надежности пароля для пользователей управления API. В настройках используется ряд предварительно настроенных (и уникально пронумерованных) регулярных выражений для проверки содержимого пароля (например, прописные и строчные буквы, цифры и специальные символы). Запишите эти настройки в файл /<inst_root>/apigee/customer/application/management-server.properties . Если этот файл не существует, создайте его.

После редактирования Management-server.properties перезапустите сервер управления:

> /<inst_root>/apigee/apigee-service/bin/apigee-service edge-management-server restart

Затем вы можете установить рейтинг надежности пароля, группируя различные комбинации регулярных выражений. Например, вы можете определить, что пароль, содержащий хотя бы одну заглавную и одну строчную букву, получает рейтинг надежности «3», а пароль, содержащий хотя бы одну строчную букву и одну цифру, получает более высокий рейтинг «4».

Характеристики

Описание

conf_security_password.validation.minimum.
пароль.длина=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
рейтинг.требуется=3

Используйте их для определения общих характеристик действительных паролей. Минимальный рейтинг надежности пароля по умолчанию (описанный ниже в таблице) равен 3.

Обратите внимание, что пароль.validation.default.rating=2 ниже требуемого минимального рейтинга. Это означает, что если введенный пароль выходит за рамки настроенных вами правил, паролю присваивается рейтинг 2 и, следовательно, он недействителен (ниже минимального рейтинга). из 3).

Ниже приведены регулярные выражения, определяющие характеристики пароля. Обратите внимание, что каждый из них пронумерован. Например, «password.validation.regex.5=…» — это выражение номер 5. Вы будете использовать эти числа в следующем разделе файла для установки различных комбинаций, определяющих общую надежность пароля.

conf_security_password.validation.regex.1=^(.)\\1+$

1 – Все символы повторяются

conf_security_password.validation.regex.2=^.*[az]+.*$

2 – хотя бы одна строчная буква

conf_security_password.validation.regex.3=^.*[AZ]+.*$

3 – Хотя бы одна заглавная буква

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – Хотя бы одна цифра

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – хотя бы один специальный символ (не включая подчеркивание _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – хотя бы одно подчеркивание

conf_security_password.validation.regex.7=^.*[az]{2,}.*$

7 – более одной строчной буквы

conf_security_password.validation.regex.8=^.*[AZ]{2,}.*$

8 – более одной заглавной буквы

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – более одной цифры

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – более одного специального символа (не включая подчеркивание)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – более одного подчеркивания

Следующие правила определяют надежность пароля на основе его содержимого. Каждое правило включает одно или несколько регулярных выражений из предыдущего раздела и присваивает ему числовой уровень. Числовая надежность пароля сравнивается с числом conf_security_password.validation.minimum.rating.required в верхней части этого файла, чтобы определить, действителен ли пароль.

conf_security_password.validation.rule.1=1,И,0

conf_security_password.validation.rule.2=2,3,4,И,4

conf_security_password.validation.rule.3=2,9,И,4

conf_security_password.validation.rule.4=3,9,И,4

conf_security_password.validation.rule.5=5,6,ИЛИ,4

conf_security_password.validation.rule.6=3,2,И,3

conf_security_password.validation.rule.7=2,9,И,3

conf_security_password.validation.rule.8=3,9,И,3

Каждое правило пронумеровано. Например, «password.validation.rule. 3 =…» — это правило номер 3.

Каждое правило использует следующий формат (справа от знака равенства):

<список-индексов регулярных выражений>,<И|ИЛИ>,<рейтинг>

regex-index-list — это список регулярных выражений (по номерам из предыдущего раздела) вместе с оператором AND|OR (то есть учитывать все или любое из перечисленных выражений).

рейтинг — это числовой рейтинг силы, присваиваемый каждому правилу.

Например, правило 5 означает, что любой пароль, содержащий хотя бы один специальный символ ИЛИ одно подчеркивание, получает рейтинг надежности 4. С помощью пароля.проверка.минимум.
рейтинг.требуется=3 в верхней части файла, пароль с рейтингом 4 действителен.

conf_security_rbac.password.validation.enabled=истина

Установите для проверки пароля управления доступом на основе ролей значение false, если включен единый вход (SSO). По умолчанию верно.

Сброс пароля Кассандры

По умолчанию Cassandra поставляется с отключенной аутентификацией. Если вы включите аутентификацию, он будет использовать предопределенного пользователя с именем «cassandra » и паролем « cassandra ». Вы можете использовать эту учетную запись, установить для нее другой пароль или создать нового пользователя Cassandra. Добавляйте, удаляйте и изменяйте пользователей с помощью операторов Cassandra CREATE/ALTER/DROP USER.

Информацию о том, как включить аутентификацию Cassandra, см. в разделе Включение аутентификации Cassandra .

Чтобы сбросить пароль Кассандры, вам необходимо:

  • Установите пароль на любом узле Cassandra, и он будет передан на все узлы Cassandra в кольце.
  • Обновите сервер управления, процессоры сообщений, маршрутизаторы, серверы Qpid, серверы Postgres и стек BaaS на каждом узле, используя новый пароль.

Для получения дополнительной информации см. http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html .

Чтобы сбросить пароль Кассандры:

  1. Войдите в любой узел Cassandra, используя инструмент cqlsh и учетные данные по умолчанию. Вам нужно изменить пароль только на одном узле Cassandra, и он будет передан на все узлы Cassandra в кольце:
    > /<inst_root>/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Где:
    • cassIP — IP-адрес узла Cassandra.
    • 9042 — порт Кассандра.
    • Пользователь по умолчанию — Кассандра .
    • Пароль по умолчанию — cassandra . Если вы ранее меняли пароль, используйте текущий пароль.
  2. Запустите следующую команду в качестве приглашения cqlsh>, чтобы обновить пароль:
    cqlsh> ИЗМЕНИТЬ ПОЛЬЗОВАТЕЛЯ cassandra С ПАРОЛЕМ ' NEW_PASSWORD ';

    Если новый пароль содержит одинарную кавычку, экранируйте его, поставив перед ним одинарную кавычку.
  3. Выйдите из инструмента cqlsh :
    cqlsh> выход
  4. На узле Сервер управления выполните следующую команду:
    > /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-Management-Server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    При желании вы можете передать команде файл, содержащий новое имя пользователя и пароль:
    > apigee-service Edge-Management-Server store_cassandra_credentials -f configFile

    Где файл конфигурации содержит следующее:
    CASS_USERNAME= CASS_USERNAME
    CASS_PASSWORD= CASS_PASSWROD


    Эта команда автоматически перезапускает Сервер управления.
  5. Повторите шаг 4 для:
    • Все процессоры сообщений
    • Все маршрутизаторы
    • Все серверы Qpid (edge-qpid-server)
    • Серверы Postgres (edge-postgres-server)
  6. На узле стека BaaS для версии 4.16.05.04 и более поздних версий:
    1. Запустите следующую команду, чтобы сгенерировать зашифрованный пароль:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Эта команда запрашивает простой текстовый пароль и возвращает зашифрованный пароль в форме:
      БЕЗОПАСНО:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. Установите следующие токены в /opt/apigee/customer/application/usergrid.properties . Если этот файл не существует, создайте его:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050


      В этом примере используется имя пользователя по умолчанию для Cassandra. Если вы изменили имя пользователя, установите соответствующее значение usergrid-deployment_cassandra.username .

      Убедитесь, что вы включили в пароль префикс « SECURE: ». В противном случае стек BaaS интерпретирует значение как незашифрованное.

      Примечание . Каждый узел стека BaaS имеет свой собственный уникальный ключ, используемый для шифрования пароля. Поэтому вам необходимо генерировать зашифрованное значение на каждом узле стека BaaS отдельно.
    3. Измените владельца файла usergrid.properties на пользователя apigee:
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Настройте узел стека:
      > /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. Перезапустите стек BaaS:
      > /<inst_root>/apigee/apigee-service/bin/apigee-service baas-usergrid перезапуск
    6. Повторите эти шаги для всех узлов BaaS Stack.

Пароль Кассандры теперь изменен.

Сброс пароля PostgreSQL

По умолчанию в базе данных PostgreSQL определены два пользователя: «postgres» и «apigee». Оба пользователя имеют пароль по умолчанию «postgres». Используйте следующую процедуру, чтобы изменить пароль по умолчанию.

Измените пароль на всех главных узлах Postgres. Если у вас есть два сервера Postgres, настроенные в режиме главный/резервный, вам нужно изменить пароль только на главном узле. Дополнительную информацию см. в разделе Настройка репликации Master-Standby для Postgres .

  1. На главном узле Postgres измените каталог на /<inst_root>/apigee/apigee-postgresql/pgsql/bin , где /<inst_root> по умолчанию имеет значение /opt .
  2. Установите пароль пользователя PostgreSQL «postgres»:
    1. Войдите в базу данных PostgreSQL с помощью команды:
      > psql -h localhost -d apigee -U postgres
    2. При появлении запроса введите пароль пользователя «postgres» как «postgres».
    3. В командной строке PostgreSQL введите следующую команду, чтобы изменить пароль по умолчанию:
      apigee=> ИЗМЕНИТЬ ПОЛЬЗОВАТЕЛЯ postgres С ПАРОЛЕМ 'apigee1234';
    4. Выйдите из базы данных PostgreSQL с помощью команды:
      апигей=> \q
  3. Установите пароль пользователя PostgreSQL «apigee»:
    1. Войдите в базу данных PostgreSQL с помощью команды:
      > psql -h localhost -d apigee -U apigee
    2. При появлении запроса введите пароль пользователя «apigee» как «postgres».
    3. В командной строке PostgreSQL введите следующую команду, чтобы изменить пароль по умолчанию:
      apigee=> ИЗМЕНИТЬ ПОЛЬЗОВАТЕЛЯ apigee С ПАРОЛЕМ 'apigee1234';
    4. Выйдите из базы данных PostgreSQL с помощью команды:
      апигей=> \q
  4. Установите APIGEE_HOME :
    > экспортировать APIGEE_HOME=/<inst_root>/apigee/edge-postgres-server
  5. Зашифруйте новый пароль:
    > sh /<inst_root>/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Эта команда возвращает зашифрованный пароль, как показано ниже. Зашифрованный пароль начинается после символа «:» и не включает символ «:».
    Зашифрованная строка: WheaR8U4OeMEM11erxA3Cw==
  6. Обновите узел сервера управления, добавив новые зашифрованные пароли для пользователей postgres и apigee.
    1. На сервере управления измените каталог на /<inst_root>/apigee/customer/application .
    2. Отредактируйте файл Management-server.properties , чтобы установить следующие свойства. Если этот файл не существует, создайте его:
      Примечание . Некоторые свойства используют зашифрованный пароль пользователя «postgres», а некоторые — зашифрованный пароль пользователя «apigee».
      • conf_pg-agent_password= newEncryptedPasswordДля пользователя Postgres
      • conf_pg-ingest_password= newEncryptedPasswordДля пользователя Postgres
      • conf_query-service_pgDefaultPwd= newEncryptedPasswordFor пользователя Apigee
      • conf_query-service_dwDefaultPwd= newEncryptedPasswordFor пользователя Apigee
      • conf_analytics_aries.pg.password= newEncryptedPasswordДля пользователя Postgres
    3. Убедитесь, что файл принадлежит пользователю apigee:
      > chown apigee:apigee Management-server.properties
  7. Обновите все узлы Postgres Server и Qpid Server, используя новый зашифрованный пароль.
    1. На узле сервера Postgres или сервера Qpid измените каталог на /<inst_root>/apigee/customer/application .
    2. Отредактируйте следующие файлы. Если эти файлы не существуют, создайте их:
      • postgres-server.properties
      • qpid-server.properties
    3. Добавьте в файлы следующие свойства:
      Примечание . Все эти свойства используют зашифрованный пароль пользователя postgres.
      • conf_pg-agent_password= newEncryptedPasswordДля пользователя Postgres
      • conf_pg-ingest_password= newEncryptedPasswordДля пользователя Postgres
      • conf_query-service_pgDefaultPwd= newEncryptedPasswordДля пользователя Postgres
      • conf_query-service_dwDefaultPwd= newEncryptedPasswordFor пользователя Postgres
      • conf_analytics_aries.pg.password= newEncryptedPasswordДля пользователя Postgres
    4. Убедитесь, что файлы принадлежат пользователю apigee:
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. Перезапустите следующие компоненты в следующем порядке:
    1. База данных PostgreSQL:
      > /<inst_root>/apigee/apigee-service/bin/apigee-service перезапуск apigee-postgresql
    2. Qpid-сервер:
      > /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-qpid-перезапуск сервера
    3. Постгрес-сервер:
      > /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-postgres-перезапуск сервера
    4. Сервер управления:
      > /<inst_root>/apigee/apigee-service/bin/apigee-service перезапуск сервера Edge-Management-Server