Cassandra 認証を有効にする

Edge for Private Cloud v. 4.17.01

デフォルトでは、Cassandra のインストール時に認証は有効にされません。つまり、だれでも Cassandra にアクセスできます。Edge のインストール後、またはインストール プロセスの一環として認証を有効にできます。

Cassandra で認証を有効にする場合、次のデフォルト認証情報が使用されます。

  • ユーザー名 = 'cassandra'
  • パスワード = 'cassandra'

このアカウントを使用することも、このアカウントに異なるパスワードを設定することも、あるいは Cassandra の新しいユーザーを作成することもできます。ユーザーの追加、削除、変更には、Cassandra の CREATE/ALTER/DROP USER 文を使用します。

詳細については、http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html をご覧ください。

インストール時に Cassandra 認証を有効にする

インストール時に Cassandra 認証を有効にすることができます。ただし、Cassandra のインストール時に認証を有効にすることはできますが、デフォルトのユーザー名とパスワードは変更できません。この手順は Cassandra のインストール後に手動で行う必要があります。

: 「-p c」、「-p ds」、「-p sa」、「-p aio」、「-p asa」、「-p ebp」のオプションを使用して Cassandra をインストールする場合は、この手順に従ってください。

インストール時に Cassandra 認証を有効にするには、すべての Cassandra ノードの構成ファイルに CASS_AUTH プロパティを含めます。

CASS_AUTH=y # The default value is n.

Cassandra にアクセスする Edge コンポーネントは次のとおりです。

  • 管理サーバー
  • Message Processor
  • ルーター
  • Qpid サーバー
  • Postgres サーバー
  • BaaS Stack

したがって、これらのコンポーネントをインストールするときは、構成ファイルに次のプロパティを設定して、Cassandra の認証情報を指定する必要があります。

CASS_USERNAME=cassandra 
CASS_PASSWORD=cassandra

Cassandra インストール後に Cassandra の認証情報を変更できます。ただし、Management Server、Message Processor、Router、Qpid サーバー、Postgres サーバー、Baas Stack をすでにインストールしている場合は、これらのコンポーネントも新しい認証情報を使用するよう更新する必要があります。

Cassandra のインストール後に Cassandra の認証情報を変更するには:

  1. cqlsh ツールとデフォルトの認証情報を使用して、いずれかの Cassandra ノードにログインします。パスワードの変更は 1 つのノードだけで行い、その変更をリング内のすべての Cassandra ノードにブロードキャストします。
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
    次のようにします。
    1. cassIP は Cassandra ノードの IP アドレスです。
    2. 9042 はデフォルトの Cassandra ポートです。
    3. デフォルトのユーザーは cassandra です。
    4. デフォルトのパスワードは cassandra です。以前にパスワードを変更した場合は、現在のパスワードを使用してください。
  2. cqlsh> プロンプトとして次のコマンドを実行して、パスワードを更新します。
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  3. cqlsh ツールを終了します。
    cqlsh> exit
  4. Management Server、Message Processor、Router、Qpid サーバー、Postgres サーバー、Baas Stack をまだインストールしていない場合は、構成ファイルで次のプロパティを設定してそれらのコンポーネントをインストールします。
    CASS_USERNAME=cassandra
    CASS_PASSWORD=NEW_PASSWORD
  5. Management Server、Message Processor、Router、Qpid サーバー、Postgres サーバー、Baas Stack をすでにインストールしている場合は、Edge パスワードをリセットするの手順に従って、これらのコンポーネントで新しいパスワードが使用されるようにします。

インストール後に Cassandra 認証を有効にする

認証を有効にするには:

  • Cassandra に接続するすべての Edge コンポーネントを、Cassandra のユーザー名とパスワードで更新します。
  • すべての Cassandra ノードで、認証を有効にします。
  • いずれかのノードで Cassandra のユーザー名とパスワードを設定します。認証情報の変更は 1 つの Cassandra ノードだけで行い、その変更をリング内のすべての Cassandra ノードにブロードキャストします。

Cassandra と通信するすべての Edge コンポーネントを新しい認証情報で更新するには、次の操作を行います。この手順は、Cassandra の認証情報を実際に更新する前に行う必要があります。

  1. 管理サーバーノードノードで、次のコマンドを実行します。
    File Management Server ノードで、次のコマンドを実行します。








    configFile
  2. 以下について、ステップ 1 を繰り返します。
    • すべての Message Processor
    • すべての Router
    • すべての Qpid サーバー(edge-qpid-server)
    • Postgres サーバー(edge-postgres-server)
  3. バージョン 4.16.05.04 以降の BaaS Stack ノード:
    1. 次のコマンドを実行して、暗号化されたパスワードを生成します。
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      このコマンドは、平文のパスワードを入力するよう求めるプロンプトを表示し、暗号化されたパスワードを次の形式で返します。
      SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. /opt/apigee/customer/application/usergrid.properties に次のトークンを設定します。このファイルが存在しない場合は作成します。
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c0b0
      default.
      ユーザー名を変更した場合は、それに応じて usergrid-deployment_cassandra.username の値を設定します。

      パスワードに「SECURE:」接頭辞を含めるようにします。 それ以外の場合、BaaS スタックは値を暗号化されていないと解釈します。

      : 各 BaaS Stack ノードには、パスワードの暗号化に使用される一意のキーがあります。したがって、各 BaaS Stack ノードで暗号化された値を個別に生成する必要があります。
    3. usergrid.properties ファイルの所有権を「apigee」ユーザーに変更します。
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Stack ノードを構成します。
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. BaaS スタックを再起動します。
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. すべての BaaS Stack ノードで上記の手順を繰り返します。

次の手順に従い、Cassandra 認証を有効にしてユーザー名とパスワードを設定します。

  1. 最初の Cassandra ノードにログインします。
  2. 次のコマンドを実行します。 
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra
  enable_cassandra_authentication -e y

    このコマンドは認証を有効にし、Cassandra を再起動します。

  3. すべての Cassandra ノードでステップ 1 と 2 を繰り返します。
  4. cqlsh ツールとデフォルトの認証情報を使用していずれかの Cassandra にログインします。1 つの Cassandra ノードでパスワードを変更するだけで、リング内のすべての Cassandra ノードにブロードキャストされます。 
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    場所

    • cassIP は Cassandra ノードの IP アドレスです。
    • 9042 は Cassandra のポートです。
    • デフォルトのユーザー名は cassandra です。
    • デフォルトのパスワードは cassandra です。以前にパスワードを変更した場合は、現在のパスワードを使用してください。
  5. cqlsh> プロンプトで次のコマンドを実行して、パスワードを更新します。 
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  6. cqlsh> プロンプトで次のコマンドを実行して、キースペースが常に使用可能であることを確認します。 1 つのデータセンターの場合: 
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3'};
    2 つのデータセンターの場合: 
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3', 'dc-2': '3'};
  7. cqlsh ツールを終了します。 
    exit
  8. nodetool repair を実行して、変更がすべての Cassandra ノードに反映されていることを確認します。 
    /opt/apigee/apigee-cassandra/bin/nodetool repair system_auth