איפוס סיסמאות קצה

Edge for Private Cloud גרסה 4.17.01

אפשר לאפס את מנהלי המערכת של OpenLDAP, Apigee Edge, המשתמש בארגון של Edge וגם סיסמאות Cassandra לאחר השלמת ההתקנה.

איפוס הסיסמה של OpenLDAP

בהתאם להגדרות של Edge, אפשר להתקין את OpenLDAP בתור:

  • מופע יחיד של OpenLDAP המותקן בצומת של שרת הניהול. לדוגמה, הגדרת Edge עם 2 צמתים, 5 צמתים או 9 צמתים.
  • מספר מופעי OpenLDAP מותקנים בצמתים של שרת ניהול, שהוגדרו עם OpenLDAP רפליקציה. לדוגמה, בתצורת Edge עם 12 צמתים.
  • מספר מכונות OpenLDAP הותקנו בצמתים שלהן, שהוגדרו באמצעות OpenLDAP רפליקציה. לדוגמה, בתצורה של Edge עם 13 צמתים.

הדרך שבה תאפסו את הסיסמה של OpenLDAP תלויה בהגדרות שלכם.

עבור מופע בודד של OpenLDAP שמותקן בשרת הניהול, מבצעים את הפקודה הבאים:

  1. בצומת של שרת הניהול, מריצים את הפקודה הבאה כדי ליצור את OpenLDAP החדש סיסמה:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. מריצים את הפקודה הבאה כדי לשמור את הסיסמה החדשה ולאפשר להנהלה לגשת אליה שרת:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword

    הפקודה הזו מפעילה מחדש את שרת הניהול.

בהגדרת רפליקציית OpenLDAP כאשר OpenLDAP מותקן בשרת הניהול צמתים, צריך לבצע את השלבים שלמעלה בשני הצמתים של שרתי הניהול כדי לעדכן את סיסמה.

בהגדרת רפליקציית OpenLDAP כאשר OpenLDAP נמצא בצומת שהוא לא ניהול שרת, יש להקפיד קודם לשנות את הסיסמה בשני הצמתים של OpenLDAP, ולאחר מכן בשני הצמתים צמתים של שרתי ניהול.

איפוס הסיסמה של מנהל המערכת

איפוס הסיסמה של מנהל המערכת מחייב לאפס את הסיסמה בשני מקומות:

  • שרת ניהול
  • ממשק משתמש

אזהרה: יש לעצור את ממשק המשתמש של Edge לפני האיפוס של מנהל המערכת סיסמה. מאחר שאיפסת קודם את הסיסמה בשרת הניהול, ייתכן פרק זמן שבו ממשק המשתמש עדיין משתמש בסיסמה הישנה. אם ממשק המשתמש מבצע יותר משלוש קריאות באמצעות הסיסמה הישנה, שרת OpenLDAP נועל את חשבון מנהל המערכת עבור שלוש דקות.

כדי לאפס את סיסמת מנהל המערכת:

  1. בצומת ממשק המשתמש, מפסיקים את ממשק המשתמש של Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. בשרת הניהול, מריצים את הפקודה הבאה כדי לאפס את הסיסמה:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. עורכים את קובץ התצורה השקט שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את ההגדרות הבאות נכסים:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y

    שימו לב שתצטרכו לכלול את מאפייני ה-SMTP כשמעבירים את הסיסמה החדשה, מאחר שכל המאפיינים בממשק המשתמש מתאפסים.
  4. משתמשים ב-apigee-setup לאיפוס הסיסמה בממשק המשתמש של Edge מקובץ התצורה:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (רק אם TLS מופעל בממשק המשתמש) הפעלה מחדש של TLS בממשק המשתמש של Edge בתור שמתואר במאמר הגדרת TLS לניהול UI.

בסביבה של רפליקציית OpenLDAP עם שרתי ניהול מרובים, איפוס הסיסמה בשרת ניהול אחד מעדכן את שרת הניהול השני באופן אוטומטי. עם זאת, צריך לעדכן את כל הצמתים של ממשק המשתמש של Edge בנפרד.

איפוס סיסמת המשתמש בארגון

כדי לאפס את הסיסמה של משתמש בארגון, צריך להשתמש בכלי apigee-servce כדי להפעיל apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

לדוגמה:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

למטה מוצג קובץ תצורה לדוגמה שבו ניתן להשתמש עם הסימן "-f" אפשרות:

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

אפשר גם להשתמש ב-Update user API כדי לשנות את סיסמת המשתמש.

סיסמת משתמש של מנהל מערכת וארגון כללים

השתמש בקטע זה כדי לאכוף את הרמה הרצויה של אורך וחוזק הסיסמה עבור ה-API שלך. משתמשי ניהול. ההגדרות משתמשות בסדרה של הגדרות קבועות מראש (וממוספרות באופן ייחודי) ביטויים נוספים כדי לבדוק את תוכן הסיסמה (למשל אותיות רישיות, אותיות קטנות, מספרים ותווים מיוחדים, תווים). כותבים את ההגדרות האלה בכתובת /opt/apigee/customer/application/management-server.properties חדש. אם הקובץ לא קיים, יוצרים אותו.

אחרי שעורכים את management-server.properties, מפעילים מחדש את שרת ניהול:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

לאחר מכן תוכלו להגדיר דירוגים של חוזק סיסמה על ידי קיבוץ שילובים שונים של הבעות פנים. לדוגמה, ניתן לקבוע שסיסמה עם לפחות סיסמה אחת גדולה ואחת לפחות דירוג החוזק של אות קטנה הוא '3', אבל שהסיסמה כוללת לפחות אות קטנה אחת אות ומספר אחד מקבלים דירוג גבוה יותר של '4'.

נכסים

תיאור

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

השתמשו בהם כדי לקבוע את המאפיינים הכלליים של סיסמאות חוקיות. ברירת המחדל הדירוג המינימלי של חוזק הסיסמה (כפי שמתואר בהמשך בטבלה) הוא 3.

חשוב לשים לב שהערך password.verificationation.default.rating=2 נמוך מהדירוג המינימלי. כלומר, אם סיסמה שהוזנה לא עומדת בכללים להגדיר, הסיסמה סווגה כ-2 ולכן היא לא חוקית (מתחת לדירוג המינימלי מתוך 3).

בהמשך מופיעים ביטויים רגולריים שמזהים מאפיינים של סיסמאות. הערה שכל אחת מהן ממוספרת. לדוגמה, "password.verificationation.regex.5=..." תואם לערך ביטוי מספר 5. צריך להשתמש במספרים האלה בקטע מאוחר יותר בקובץ כדי להגדיר שילובים שונים שקובעים את החוזק הכולל של הסיסמה.

conf_security_password.verificationation.regex.1=^(.)\\1+$

1 – כל התווים חוזרים

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – אות קטנה אחת לפחות

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – לפחות אות גדולה אחת

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – ספרה אחת לפחות

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – לפחות תו מיוחד אחד (לא כולל קו תחתון _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – לפחות קו תחתון אחד

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 – יותר מאות קטנה אחת

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – יותר מאות גדולה אחת

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – יותר מספרה אחת

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – יותר מתו מיוחד אחד (לא כולל קו תחתון)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – יותר מקו תחתון אחד

הכללים הבאים קובעים את חוזק הסיסמה על סמך התוכן של הסיסמה. כל כלל כולל לפחות ביטוי רגולרי אחד מהקטע הקודם ומקצה עוצמת מספרים. מתבצעת השוואה בין החוזק המספרי של סיסמה המספר conf_security_password.identityation.minimum.rating.required co.il, בחלק העליון של הקובץ זה כדי לקבוע אם סיסמה חוקית.

conf_security_password.verificationation.rule.1=1,AND,0

conf_security_password.verifyation.rule.2=2,3,4,AND,4

conf_security_password.verificationation.rule.3=2,9,AND,4

conf_security_password.verificationation.rule.4=3,9,AND,4

conf_security_password.verificationation.rule.5=5,6,OR,4

conf_security_password.verificationation.rule.6=3,2,AND,3

conf_security_password.verificationation.rule.7=2,9,AND,3

conf_security_password.verificationation.rule.8=3,9,AND,3

כל כלל ממוספר. לדוגמה, "password.verificationation.rule.3=..." הוא כלל מספר 3.

כל כלל משתמש בפורמט הבא (ימין לסימן השווה):

<regex-index-list>,<AND|OR>,<rating>

regex-index-list הוא רשימת הביטויים הרגולריים (לפי מספר מ- הקטע הקודם), יחד עם האופרטור AND|OR (כלומר, נחשב את כל הביטויים המפורטים או כל אחד מהם).

rating הוא הדירוג המספרי של החוזק שניתן לכל כלל.

לדוגמה, כלל 5 פירושו שכל סיסמה שמכילה לפחות תו מיוחד אחד או תו אחד הקו התחתון מקבל דירוג חוזק של 4. עם password.verificationation.Minimum.
דירוג.required=3 בחלק העליון של הקובץ, סיסמה עם דירוג 4 תקפה.

conf_security_rbac.password.validation.enabled=true

הגדרת אימות הסיסמה של בקרת הגישה מבוססת-התפקיד כ-FALSE בכניסה יחידה (SSO) מופעלת. ברירת המחדל היא True.

מתבצע איפוס של הסיסמה של Cassandra

כברירת מחדל, המשלוח של Cassandra נשלח כשהאימות מושבת. אם תפעילו את האימות, משתמש במשתמש מוגדר מראש בשם 'cassandra' עם הסיסמה 'cassandra'. אפשר להשתמש בחשבון הזה, צריך להגדיר סיסמה אחרת לחשבון הזה או ליצור משתמש חדש ב-Cassandra. להוסיף, להסיר ו לשנות משתמשים באמצעות הצהרות משתמש מסוג CREATE/ALTER/DROP USER.

למידע על אופן ההפעלה של אימות Cassandra, ראו הפעלת אימות Cassandra.

כדי לאפס את הסיסמה של Cassandra, צריך:

  • מגדירים את הסיסמה בכל צומת של Cassandra, והיא תשודר לכל חשבונות Cassandra צמתים בטבעת
  • לעדכן את שרת הניהול, מעבדי הודעות, נתבים, שרתי Qpid, שרתי Postgres, ו-BaaS Stack בכל צומת עם הסיסמה החדשה

מידע נוסף זמין בכתובת http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

כדי לאפס את הסיסמה של Cassandra:

  1. מתחברים לכל צומת של Cassandra באמצעות הכלי cqlsh וברירת המחדל פרטי הכניסה. צריך לשנות את הסיסמה רק בצומת אחד של Cassandra, והיא תהיה שידור לכל הצמתים של Cassandra בזירה:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p קסנדרה

    כאשר:
    • cassIP הוא כתובת ה-IP של צומת Cassandra.
    • 9042 הוא הקסנדרה יציאה.
    • משתמש ברירת המחדל הוא cassandra.
    • סיסמת ברירת המחדל היא cassandra. אם שיניתם את הסיסמה בעבר, השתמשו בסיסמה הנוכחית.
  2. מריצים את הפקודה הבאה בתור ההנחיה cqlsh> כדי לעדכן סיסמה:
    cqlsh> קסנדרה של משתמש חלופי עם סיסמה 'NEW_PASSWORD';

    אם הסיסמה החדשה מכילה תו גרש יחיד, יש לסמן אותה בתו בריחה (escape) לפניה בתו מירכאות.
  3. יוצאים מהכלי cqlsh:
    cqlsh> יציאה
  4. בצומת של שרת הניהול, מריצים את הפקודה הבאה:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials – u CASS_USERNAME -p CASS_PASSWORD

    אפשר גם להעביר קובץ לפקודה שמכילה את שם המשתמש והסיסמה החדשים:
    > apigee-service dge-management-server store_cassandra_credentials -f configFile

    כאשר configFile מכיל את התחילית עוקבים:
    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD

    הפקודה הזו מפעילה מחדש את שרת הניהול באופן אוטומטי.
  5. חוזרים על שלב 4 ב:
    • כל מעבדי ההודעות
    • כל הנתבים
    • כל שרתי ה-Qpid (קצה-qpid-server)
    • שרתי Postgres (End-postgres-server)
  6. בצומת BaaS Stack לגרסה 4.16.05.04 ואילך:
    1. כדי ליצור סיסמה מוצפנת, מריצים את הפקודה הבאה:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      הפקודה הזו מבקשת את הסיסמה בפורמט טקסט פשוט ומחזירה את הסיסמה המוצפנת הטופס הזה:
      אבטחה:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. מגדירים את האסימונים הבאים ב-/opt/apigee/customer/application/usergrid.properties. אם הקובץ הזה לא קיים, יוצרים אותו:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050

      הדוגמה הזו משתמשת בשם המשתמש שמוגדר כברירת מחדל עבור Cassandra. אם שיניתם את שם המשתמש, עליכם להגדיר של usergrid-deployment_cassandra.username, בהתאמה.

      חשוב לכלול את המאפיין "אבטחה:" לסיסמה. אחרת, מקבץ BaaS מפרש את הערך כלא מוצפן.

      הערה: לכל צומת של BaaS Stack יש מפתח ייחודי משלו שמשמש להצפנה סיסמה. לכן צריך ליצור את הערך המוצפן בכל צומת של BaaS Stack בנפרד.
    3. משנים את הבעלות על הקובץ usergrid.properties 'apigee' user:
      > צ'און apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. הגדרת הצומת של המקבץ:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configuration
    5. הפעלה מחדש של מקבץ BaaS:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid מחדש
    6. חוזרים על השלבים האלה לכל התנועות ב-BaaS Stack.

הסיסמה של Cassandra השתנתה.

איפוס הסיסמה ל-PostgreSQL

כברירת מחדל, במסד הנתונים של PostgreSQL מוגדרים שני משתמשים: 'postgres' ו-apigee. לשני המשתמשים יש סיסמת ברירת מחדל 'postgres'. יש לפעול לפי התהליך הבא כדי לשנות את סיסמת ברירת מחדל.

שינוי הסיסמה בכל הצמתים הראשיים של Postgres. אם הגדרתם שני שרתי Postgres במצב מאסטר/המתנה, צריך לשנות את הסיסמה רק בצומת הראשי. צפייה הגדרה של רפליקציה מסוג Master-Standby בשביל לקבלת מידע נוסף, אפשר ללחוץ על Postgres.

  1. בצומת Master Postgres, משנים את הספרייה ל-/opt/apigee/apigee-postgresql/pgsql/bin.
  2. מגדירים את PostgreSQL 'postgres' סיסמת משתמש:
    1. מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
      > psql -h Localhost -d apigee -U postgres
    2. כשמופיעה בקשה, כותבים 'postgres'. כ-postgres.
    3. בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את ברירת המחדל. סיסמה:
      apigee=> הודעות אימייל של משתמש אחר עם הסיסמה 'apigee1234';
    4. יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה:
      apigee=> \q
  3. מגדירים את השדה 'apigee' ב-PostgreSQL סיסמת משתמש:
    1. מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
      > psql -h Localhost -d apigee -U apigee
    2. כשתופיע בקשה, מזינים את 'apigee' כ-postgres.
    3. בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את ברירת המחדל. סיסמה:
      apigee=> apigee משתמש חלופי עם סיסמה 'apigee1234';
    4. יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה:
      apigee=> \q
  4. הגדרת APIGEE_HOME:
    > ייצוא APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. הצפנת הסיסמה החדשה:
    > ד' /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    הפקודה הזו מחזירה את הסיסמה המוצפנת כמו שמוצג בהמשך. הסיסמה המוצפנת מתחילה אחרי ":" ולא כולל את ":".
    מחרוזת מוצפנת :WheaR8U4OeMEM11erxA3Cw==
  6. מעדכנים את הצומת של שרת הניהול בסיסמאות המוצפנות החדשות של Postgres ו-apigee משתמשים.
    1. בשרת הניהול, משנים את הספרייה ל-/opt/apigee/customer/application.
    2. עורכים את הקובץ management-server.properties כדי מגדירים את המאפיינים הבאים. אם הקובץ הזה לא קיים, צריך ליצור אותו:
      הערה: חלק מהנכסים לוקחים את המוצפן 'postgres' של המשתמש, וחלקם משתמשים ב-'apigee' המוצפן משתמש סיסמה.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. יש לוודא שהקובץ הוא בבעלות 'apigee' משתמש:
      > אפיק שושן:אפיג'י management-server.properties
  7. עדכון כל הצמתים של שרת Postgres ו-Qpid Server באמצעות הסיסמה המוצפנת החדשה.
    1. בצומת Postgres Server או Qpid Server, משנים את הספרייה ל-/opt/apigee/customer/application.
    2. עריכה של הקבצים הבאים. אם הקבצים האלה לא קיימים, יוצרים אותם:
      • postgres-server.properties
      • qpid-server.properties
    3. מוסיפים לקבצים את המאפיינים הבאים:
      הערה: כל הנכסים האלה 'postgres' מוצפנים הסיסמה של המשתמש.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. יש לוודא שהקבצים הם בבעלות 'apigee' משתמש:
      > אפיק שושן:אפיג'י postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. תצטרכו להפעיל מחדש את הרכיבים הבאים לפי הסדר הזה:
    1. מסד נתונים של PostgreSQL:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql הפעלה מחדש
    2. שרת Qpid:
      > /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server מחדש
    3. שרת Postgres:
      > /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server מחדש
    4. שרת ניהול:
      > /opt/apigee/apigee-service/bin/apigee-service edge-management-server מחדש