Ativar autenticação do Cassandra

Edge para nuvem privada v. 4.17.01

Por padrão, o Cassandra é instalado sem a autenticação ativada. Isso significa que qualquer pessoa pode acessar o Cassandra. É possível ativar a autenticação após a instalação do Edge ou como parte do processo de instalação.

Se você decidir ativar a autenticação no Cassandra, ele usará as seguintes credenciais padrão:

  • username = 'cassandra'
  • senha = 'cassandra'

Você pode usar essa conta, definir uma senha diferente para ela ou criar um novo usuário do Cassandra. Adicione, remova e modifique usuários usando as instruções CREATE/ALTER/DROP USER do Cassandra.

Para mais informações, consulte http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Ativar a autenticação do Cassandra durante a instalação

Você pode ativar a autenticação do Cassandra como tempo de instalação. No entanto, embora seja possível ativar a autenticação ao instalar o Cassandra, não é possível mudar o nome de usuário e a senha padrão. É necessário executar essa etapa manualmente após a conclusão da instalação do Cassandra.

Observação: use este procedimento ao instalar o Cassandra com as opções "-p c", "-p ds", "-p sa", "-p aio", "-p asa" e "-p ebp".

Para ativar a autenticação do Cassandra no momento da instalação, inclua a propriedade CASS_AUTH no arquivo de configuração para todos os nós do Cassandra:

CASS_AUTH=y # The default value is n.

Os seguintes componentes do Edge acessam o Cassandra:

  • Servidor de gerenciamento
  • Processadores de mensagens
  • Roteadores
  • Servidores Qpid
  • Servidores Postgres
  • Pilha BaaS

Portanto, ao instalar esses componentes, defina as seguintes propriedades no arquivo de configuração para especificar as credenciais do Cassandra:

CASS_USERNAME=cassandra 
CASS_PASSWORD=cassandra

Você pode mudar as credenciais do Cassandra depois de instalar o Cassandra. No entanto, se você já tiver instalado o servidor de gerenciamento, os processadores de mensagens, os roteadores, os servidores Qpid, os servidores Postgres ou a pilha BaaS, também será necessário atualizar esses componentes para usar as novas credenciais.

Para mudar as credenciais do Cassandra após a instalação:

  1. Faça login em qualquer nó do Cassandra usando a ferramenta cqlsh e as credenciais padrão. Você só precisa mudar a senha em um nó, e ela será transmitida para todos os nós do Cassandra no anel:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
    Onde:
    1. cassIP é o endereço IP do nó do Cassandra.
    2. 9042 é a porta padrão do Cassandra.
    3. O usuário padrão é cassandra.
    4. A senha padrão é cassandra. Se você já mudou a senha, use a senha atual.
  2. Execute o comando abaixo como o comando cqlsh> para atualizar a senha:
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  3. Saia da ferramenta cqlsh:
    cqlsh> exit
  4. Se você ainda não tiver instalado o servidor de gerenciamento, os processadores de mensagens, os roteadores, os servidores Qpid, os servidores Postgres ou a pilha BaaS, defina as seguintes propriedades no arquivo de configuração e instale esses componentes:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=NEW_PASSWORD
  5. Se você já tiver instalado o servidor de gerenciamento, os processadores de mensagens, os roteadores, os servidores Qpid, os servidores Postgres ou a pilha BaaS, consulte Redefinir senhas do Edge para saber como atualizar esses componentes para usar a nova senha.

Ativar a autenticação do Cassandra após a instalação

Para ativar a autenticação:

  • Atualize todos os componentes do Edge que se conectam ao Cassandra com o nome de usuário e a senha do Cassandra.
  • Ative a autenticação em todos os nós do Cassandra.
  • Defina o nome de usuário e a senha do Cassandra em qualquer nó. Você só precisa mudar as credenciais em um nó do Cassandra, e elas serão transmitidas para todos os nós do Cassandra no anel.

Use o procedimento a seguir para atualizar todos os componentes do Edge que se comunicam com o Cassandra com as novas credenciais. Faça esta etapa antes de atualizar as credenciais do Cassandra:

  1. No nó do servidor de gerenciamento, execute o seguinte comando:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Como alternativa, é possível transmitir um arquivo para o comando contendo o novo nome de usuário e a senha:
    > apigee-service edge-management-server store_cassandra_credentials -f configFile

    Em que o configFile contém o seguinte:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=CASS_PASSWROD


    Esse comando reinicia automaticamente o servidor de gerenciamento.
  2. Repita a etapa 1 em:
    • Todos os processadores de mensagens
    • Todos os roteadores
    • Todos os servidores Qpid (edge-qpid-server)
    • Servidores Postgres (edge-postgres-server)
  3. No nó da pilha BaaS para a versão 4.16.05.04 e mais recente:
    1. Execute o comando a seguir para gerar uma senha criptografada:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Esse comando solicita a senha de texto simples e retorna a senha criptografada no formato:
      SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. Defina os seguintes tokens em /opt/apigee/customer/application/usergrid.properties. Se esse arquivo não existir, crie-o:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050


      Este exemplo usa o nome de usuário padrão do Cassandra. Se você tiver mudado o nome de usuário, defina o valor de usergrid-deployment_cassandra.username de acordo.

      Inclua o prefixo SECURE:" na senha. Caso contrário, a pilha BaaS interpreta o valor como não criptografado.

      Observação: cada nó da pilha de BaaS tem a própria chave exclusiva usada para criptografar a senha. Portanto, você precisa gerar o valor criptografado em cada nó da pilha do BaaS separadamente.
    3. Altere a propriedade do arquivo usergrid.properties para o usuário 'apigee':
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Configure o nó da pilha:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. Reinicie a pilha BaaS:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. Repita essas etapas para todos os nós da pilha BaaS.

Use o procedimento a seguir para ativar a autenticação do Cassandra e definir o nome de usuário e a senha:

  1. Faça login no primeiro nó do Cassandra.
  2. Execute este comando:
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra
      enable_cassandra_authentication -e y

    Esse comando ativa a autenticação e reinicia o Cassandra.

  3. Repita as etapas 1 e 2 em todos os nós do Cassandra.
  4. Faça login em qualquer nó do Cassandra usando a ferramenta cqlsh e as credenciais padrão. Você só precisa alterar a senha em um nó do Cassandra, e ela será transmitida para todos os nós do Cassandra no círculo:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Onde

    • cassIP é o endereço IP do nó do Cassandra.
    • 9042 é a porta do Cassandra.
    • O usuário padrão é cassandra.
    • A senha padrão é cassandra. Se você já mudou a senha, use a senha atual.
  5. Execute o comando abaixo no prompt cqlsh> para atualizar a senha:
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  6. Execute o comando abaixo no prompt cqlsh> para garantir que o espaço de chaves esteja sempre disponível. Para um único data center:
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3'};
    Para dois data centers:
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3', 'dc-2': '3'};
  7. Saia da ferramenta cqlsh:
    exit
  8. Execute nodetool repair para garantir que a mudança seja propagada para todos os nós do Cassandra:
    /opt/apigee/apigee-cassandra/bin/nodetool repair system_auth