Reimpostazione delle password perimetrali

Edge per Private Cloud v. 4.17.01

Al termine dell'installazione puoi reimpostare le password di OpenLDAP, dell'amministratore di sistema Apigee Edge, dell'utente dell'organizzazione Edge e di Cassandra.

Reimposta password OpenLDAP

A seconda della configurazione Edge, OpenLDAP può essere installato come:

• Una singola istanza di OpenLDAP installata sul nodo del server di gestione. Ad esempio, in una configurazione perimetrale a 2, 5 o 9 nodi.
• Più istanze OpenLDAP installate sui nodi del server di gestione, configurate con la replica OpenLDAP. ad esempio in una configurazione perimetrale a 12 nodi.
• Più istanze OpenLDAP installate sui propri nodi, configurate con la replica OpenLDAP. ad esempio in una configurazione perimetrale a 13 nodi.

La modalità di reimpostazione della password OpenLDAP dipende dalla configurazione.

Per una singola istanza di OpenLDAP installata sul server di gestione, esegui quanto segue:

1. Sul nodo del server di gestione, esegui il comando seguente per creare la nuova password OpenLDAP:
   > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
2. Esegui questo comando per archiviare la nuova password per l'accesso da parte del server di gestione:
   > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword
   
   Questo comando riavvia il server di gestione.

In una configurazione di replica OpenLDAP con OpenLDAP installato sui nodi del server di gestione, segui i passaggi precedenti su entrambi i nodi del server di gestione per aggiornare la password.

In una configurazione di replica OpenLDAP in cui OpenLDAP si trova su un nodo diverso dal server di gestione, assicurati di modificare prima la password su entrambi i nodi OpenLDAP, poi su entrambi i nodi del server di gestione.

Reimposta password amministratore di sistema

Per reimpostare la password dell'amministratore di sistema è necessario reimpostare la password in due modi:

• Server di gestione
• UI

Avviso: devi interrompere l'UI Edge prima di reimpostare la password dell'amministratore di sistema. Poiché prima hai reimpostato la password sul server di gestione, potrebbe trascorrere un breve periodo di tempo in cui l'interfaccia utente continua a utilizzare la password precedente. Se la UI effettua più di tre chiamate utilizzando la password precedente, il server OpenLDAP blocca l'account dell'amministratore di sistema per tre minuti.

Per reimpostare la password dell'amministratore di sistema:

1. Sul nodo UI, arresta la UI Edge:
   > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
2. Sul server di gestione, esegui il comando seguente per reimpostare la password:
   > /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
3. Modifica il file di configurazione invisibile utilizzato per installare l'interfaccia utente Edge per impostare le seguenti proprietà:
   APIGEE_ADMINPW=newPW
   SMTPHOST=smtp.gmail.com
   SMTPPORT=465
   SMTPUSER=foo@gmail.com
   SMTPPASSWORD=bar
   SMTPSSL=y
   Tieni presente che devi includere le proprietà SMTP quando reimposti la nuova password.
   
4. Utilizza l'utilità apigee-setup per reimpostare la password sull'interfaccia utente Edge dal file di configurazione:
   > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
5. (Solo se TLS è abilitato nell'interfaccia utente) Riattiva TLS sulla UI Edge come descritto in Configurare TLS per la UI di gestione.

In un ambiente di replica OpenLDAP con più server di gestione, la reimpostazione della password su un server di gestione comporta l'aggiornamento automatico dell'altro server. Tuttavia, devi aggiornare separatamente tutti i nodi dell'UI perimetrale.

Reimposta password utente organizzazione

Per reimpostare la password di un utente dell'organizzazione, utilizza l'utilità apigee-servce per richiamare apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Ad esempio:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword 

Di seguito è riportato un esempio di file di configurazione che puoi utilizzare con l'opzione "-f":

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

Puoi anche utilizzare l'API Update user per cambiare la password dell'utente.

Regole per le password di amministratore e utente dell'organizzazione del sistema

Utilizza questa sezione per applicare il livello desiderato di lunghezza e sicurezza delle password agli utenti della gestione delle API. Le impostazioni utilizzano una serie di espressioni regolari preconfigurate (e numerate in modo univoco) per controllare il contenuto delle password (come lettere maiuscole, minuscole, numeri e caratteri speciali). Scrivi queste impostazioni nel file /opt/apigee/customer/application/management-server.properties. Se il file non esiste, crealo.

Dopo aver modificato management-server.properties, riavvia il server di gestione:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Puoi quindi impostare i livelli di sicurezza della password raggruppando diverse combinazioni di espressioni regolari. Ad esempio, puoi determinare che una password con almeno una lettera maiuscola e una minuscola riceva una valutazione di sicurezza pari a "3", ma che una password con almeno una lettera minuscola e un numero riceva una valutazione più elevata pari a "4".

Proprietà	Descrizione
conf_security_password.validation.minimum. password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum. rating.required=3	Utilizzale per determinare le caratteristiche generali delle password valide. La valutazione minima predefinita per la sicurezza della password (descritta di seguito nella tabella) è 3. Tieni presente che il valore password.validation.default.rating=2 è inferiore alla valutazione minima obbligatoria, il che significa che se una password inserita non rientra nelle regole che hai configurato, la password ha il valore 2 e non è valida (inferiore alla valutazione minima di 3).
Di seguito sono riportate le espressioni regolari che identificano le caratteristiche delle password. Tieni presente che ognuno è numerato. Ad esempio, "password.validation.regex.5=..." è l'espressione numero 5. Utilizzerai questi numeri in una sezione successiva del file per impostare diverse combinazioni che determinano la sicurezza generale della password.
conf_security_password.validation.regex.1=^(.)\\1+$	1: vengono ripetuti tutti i caratteri
conf_security_password.validation.regex.2=^.*[a-z]+.*$	2 – Almeno una lettera minuscola
conf_security_password.validation.regex.3=^.*[A-Z]+.*$	3 – Almeno una lettera maiuscola
conf_security_password.validation.regex.4=^.*[0-9]+.*$	4: almeno una cifra
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$	5 – Almeno un carattere speciale (escluso il trattino basso _)
conf_security_password.validation.regex.6=^.*[_]+.*$	6 – Almeno un trattino basso
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$	7 – Più di una lettera minuscola
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$	8: più di una lettera maiuscola
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$	9: più di una cifra
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$	10: più di un carattere speciale (escluso il trattino basso)
conf_security_password.validation.regex.11=^.*[_]{2,}.*$	11 – Più di un trattino basso
Le seguenti regole determinano la sicurezza delle password in base ai contenuti delle password. Ogni regola include una o più espressioni regolari della sezione precedente a cui assegna un valore numerico. La sicurezza numerica di una password viene confrontata con il numero conf_security_password.validation.minimum.rating.required nella parte superiore di questo file per determinare se una password è valida o meno.
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,E,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3	Ogni regola è numerata. Ad esempio, "password.validation.rule.3=..." è la regola numero 3. Ogni regola utilizza il seguente formato (a destra del segno di uguale): <regex-index-list>,<AND|OR>,<valutazione> regex-index-list è l'elenco di espressioni regolari (per numero nella sezione precedente), insieme a un operatore AND|OR (vale a dire, considera tutte le espressioni elencate o una di quelle elencate). rating è il livello di efficacia numerica assegnato a ogni regola. Ad esempio, la regola 5 indica che ogni password con almeno un carattere speciale OPPURE un trattino basso ottiene un punteggio di sicurezza pari a 4. Con password.validation.minimum. rating.required=3 nella parte superiore del file, una password con classificazione 4 è valida.
conf_security_rbac.password.validation.enabled=true	Imposta la convalida delle password per il controllo degli accessi basato sui ruoli su false quando è abilitato il Single Sign-On (SSO). Il valore predefinito è true.

Reimpostazione della password Cassandra

Per impostazione predefinita, Cassandra viene fornito con l'autenticazione disattivata. Se attivi l'autenticazione, viene utilizzato un utente predefinito denominato 'cassandra' con la password "cassandra". Puoi utilizzare questo account, impostare una password diversa per l'account o creare un nuovo utente Cassandra. Aggiungi, rimuovi e modifica gli utenti utilizzando le istruzioni CREATE/ALTER/DROP USER di Cassandra.

Per informazioni su come attivare l'autenticazione Cassandra, vedi Attivare l'autenticazione Cassandra.

Per reimpostare la password Cassandra, devi:

• Imposta la password su qualsiasi nodo Cassandra e verrà trasmessa a tutti i nodi Cassandra nell'anello
• Aggiorna il server di gestione, i processori di messaggi, i router, i server Qpid, i server Postgres e lo stack BaaS su ciascun nodo con la nuova password

Per ulteriori informazioni, consulta http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Per reimpostare la password Cassandra:

1. Accedi a qualsiasi nodo Cassandra utilizzando lo strumento cqlsh e le credenziali predefinite. Basta cambiare la password su un nodo Cassandra e questa verrà trasmessa a tutti i nodi Cassandra nell'anello:
   > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
   
   Dove:
   • cassIP è l'indirizzo IP del nodo Cassandra.
   • 9042 è la porta Cassandra.
   • L'utente predefinito è cassandra.
   • La password predefinita è cassandra. Se hai modificato la password in precedenza, utilizza la password attuale.
2. Esegui questo comando quando cqlsh> richiede di aggiornare la password:
   cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
   
   Se la nuova password contiene un carattere di escape, anteponi una virgolette singole.
3. Esci dallo strumento cqlsh:
   cqlsh> exit
4. Sul nodo del server di gestione, esegui il seguente comando:
   > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
   
   Facoltativamente, puoi passare un file al comando contenente il nuovo nome utente e la password PASSWORD-CASCaSCaSCaSsl.
   
   
   
   
   
   
   
5. Ripeti il passaggio 4 su:
   • Tutti i processori di messaggi
   • Tutti i router
   • Tutti i server Qpid (edge-qpid-server)
   • Server Postgres (server edge-postgres)
6. Sul nodo dello stack BaaS per la versione 4.16.05.04 e successive:
   1. Esegui il seguente comando per generare una password criptata:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password
      
      Questo comando richiede la password in testo normale e restituisce la password criptata nel formato:
      SECURE:ae1b6dedbf6b26aaab8bee815a00000000
   2. Imposta i seguenti token in /opt/apigee/customer/application/usergrid.properties. Se il file non esiste, crealo:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e40bc0 il nome utente predefinito per il campo predefinito
      .
      Se hai modificato il nome utente, imposta il valore di usergrid-deployment_cassandra.username di conseguenza.
      
      Assicurati di includere il prefisso "SECURE:" nella password. In caso contrario, lo stack BaaS interpreta il valore come non criptato.
      
      Nota: ogni nodo BaaS Stack ha la propria chiave univoca utilizzata per criptare la password. Di conseguenza, devi generare separatamente il valore criptato su ciascun nodo dello stack BaaS.
   3. Cambia la proprietà del file usergrid.properties in utente 'apigee':
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
   4. Configura il nodo Stack:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
   5. Riavvia lo stack BaaS:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid Spark
   6. Ripeti questi passaggi per tutti i cenni dello stack BaaS.

La password Cassandra è stata modificata.

Reimpostazione della password PostgreSQL

Per impostazione predefinita, il database PostgreSQL ha due utenti definiti: "postgres" e 'apigee'. Entrambi gli utenti hanno una password predefinita "postgres". Utilizza la seguente procedura per modificare la password predefinita.

Modifica la password su tutti i nodi master Postgres. Se hai due server Postgres configurati in modalità master/standby, devi cambiare solo la password sul nodo master. Per saperne di più, consulta Configurare la replica master-in standby per Postgres.

1. Sul nodo Master Postgres, cambia la directory in /opt/apigee/apigee-postgresql/pgsql/bin.
2. Imposta la password utente "postgres" per PostgreSQL:
   1. Accedi al database PostgreSQL utilizzando il comando:
      > psql -h localhost -d apigee -U postgres
   2. Quando richiesto, inserisci la password utente "postgres" come "postgres".
   3. Al prompt dei comandi PostgreSQL, inserisci il seguente comando per modificare la password predefinita:
      apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234';
   4. Esci dal database PostgreSQL utilizzando il comando:
      apigee=> \q
3. Imposta la password utente 'apigee' di PostgreSQL:
   1. Accedi al database PostgreSQL utilizzando il comando:
      > psql -h localhost -d apigee -U apigee
   2. Quando richiesto, inserisci la password utente 'apigee' come 'postgres'.
   3. Al prompt dei comandi PostgreSQL, inserisci il seguente comando per modificare la password predefinita:
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
   4. Esci dal database PostgreSQL utilizzando il comando:
      apigee=> \q
4. Imposta APIGEE_HOME:
   > esporta APIGEE_HOME=/opt/apigee/edge-postgres-server
5. Cripta la nuova password:
   > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
   
   Questo comando restituisce la password criptata come mostrato di seguito. La password criptata inizia dopo il carattere ":" e non include ":".
   Stringa criptata :WheaR8U4OeMEM11erxA3Cw==
6. Aggiorna il nodo del server di gestione con le nuove password criptate per gli utenti "postgres" e "apigee".
   1. Sul server di gestione, cambia la directory in /opt/apigee/customer/application.
   2. Modifica il file management-server.properties per impostare le seguenti proprietà. Se questo file non esiste, crealo:
      Nota: alcune proprietà utilizzano la password utente "postgres" criptata, mentre altre utilizzano la password utente crittografata apigee.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
   3. Assicurati che il file sia di proprietà di un utente 'apigee':
      > chown apigee:apigee management-server.properties
7. Aggiorna tutti i nodi Postgres e Qpid Server con la nuova password criptata.
   1. Sul nodo del server Postgres o del server Qpid, cambia la directory in /opt/apigee/customer/application.
   2. Modifica i seguenti file. Se questi file non esistono, creali:
      • postgres-server.properties
      • qpid-server.properties
   3. Aggiungi le seguenti proprietà ai file:
      Nota: tutte queste proprietà utilizzano la password utente "postgres" criptata.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
   4. Assicurati che i file siano di proprietà dell 'utente apigee':
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
8. Riavvia i componenti seguenti nell'ordine indicato:
   1. Database PostgreSQL:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql riavvio
   2. Qpid Server:
      > /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
   3. Server Postgres:
      > /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server reboot
   4. Server di gestione:
      > /opt/apigee/apigee-service/bin/apigee-service edge-management-server reboot