Como redefinir senhas de borda

Edge para nuvem privada v. 4.17.01

Redefina as senhas do OpenLDAP, do administrador do sistema Apigee Edge, do usuário da organização do Edge e do Cassandra após a conclusão da instalação.

Redefinir senha do OpenLDAP

Dependendo da configuração do Edge, o OpenLDAP pode ser instalado como:

  • Uma única instância do OpenLDAP instalada no nó do servidor de gerenciamento. Por exemplo, em uma configuração de borda com 2, 5 ou 9 nós.
  • Várias instâncias do OpenLDAP instaladas nos nós do servidor de gerenciamento, configuradas com a replicação OpenLDAP. Por exemplo, em uma configuração de borda de 12 nós.
  • Várias instâncias do OpenLDAP instaladas nos próprios nós, configuradas com replicação OpenLDAP. Por exemplo, em uma configuração de borda de 13 nós.

A maneira de redefinir a senha do OpenLDAP depende da sua configuração.

Para uma única instância do OpenLDAP instalada no servidor de gerenciamento, faça o seguinte:

  1. No nó "Servidor de gerenciamento", execute o seguinte comando para criar a nova senha do OpenLDAP:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. Execute o seguinte comando para armazenar a nova senha de acesso pelo servidor de gerenciamento:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword

    Este comando reinicia o servidor de gerenciamento.

Em uma configuração de replicação OpenLDAP com o OpenLDAP instalado nos nós do servidor de gerenciamento, siga as etapas acima nos dois nós para atualizar a senha.

Em uma configuração de replicação OpenLDAP com o OpenLDAP em um nó diferente do servidor de gerenciamento, primeiro altere a senha nos dois nós do OpenLDAP e depois nos dois.

Redefinir senha do administrador do sistema

Para redefinir a senha do administrador do sistema, você precisa redefinir a senha em dois locais:

  • Servidor de gerenciamento
  • Interface

Aviso: interrompa a interface do Edge antes de redefinir a senha do administrador do sistema. Como você redefine a senha primeiro no servidor de gerenciamento, pode haver um curto período de tempo em que a IU ainda está usando a senha antiga. Se a IU fizer mais de três chamadas usando a senha antiga, o servidor OpenLDAP bloqueará a conta de administrador do sistema por três minutos.

Para redefinir a senha do administrador do sistema:

  1. No nó da IU, pare a IU do Edge:
    > /opt/apigee/apigee-service/bin/apigee-serviceedge-ui stop
  2. No servidor de gerenciamento, execute o seguinte comando para redefinir a senha:
    > /opt/apigee/apigee-service/bin/apigee-serviceedge-management-server change_sysadmin_password -o currentPW -n newPW
  3. Edite o arquivo de configuração silenciosa que você usou para instalar a interface do Edge para definir as seguintes propriedades:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTP=bar
    SMTPSSL=y


    É necessário incluir as propriedades do SMTP na nova senha.
  4. Use o utilitário apigee-setup para redefinir a senha na interface do Edge a partir do arquivo de configuração:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Somente se o TLS estiver ativado na interface) Reative o TLS na interface do Edge, conforme descrito em Como configurar o TLS para a interface de gerenciamento.

Em um ambiente de replicação OpenLDAP com vários servidores de gerenciamento, a redefinição da senha em um servidor de gerenciamento atualiza o outro automaticamente. No entanto, você precisa atualizar todos os nós da IU do Edge separadamente.

Redefinir senha do usuário da organização

Para redefinir a senha de um usuário da organização, use o utilitário apigee-servce para invocar apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Exemplo:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword 

Confira abaixo um exemplo de arquivo de configuração que pode ser usado com a opção "-f":

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

Também é possível usar a API Update user para alterar a senha do usuário.

Regras de senha do administrador do sistema e do usuário da organização

Use esta seção para aplicar um nível desejado de tamanho e força da senha aos usuários do gerenciamento de API. As configurações usam uma série de expressões regulares pré-configuradas, numeradas de maneira exclusiva, para verificar o conteúdo da senha, como letras maiúsculas, minúsculas, números e caracteres especiais. Grave essas configurações no arquivo /opt/apigee/customer/application/management-server.properties. Se esse arquivo não existir, crie-o.

Depois de editar management-server.properties, reinicie o servidor de gerenciamento:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Em seguida, defina classificações de nível de segurança da senha agrupando diferentes combinações de expressões regulares. Por exemplo, é possível determinar que uma senha com pelo menos uma letra maiúscula e uma letra minúscula tenha uma classificação de força de "3", mas que uma senha com pelo menos uma letra minúscula e um número tenha uma classificação mais forte de "4".

Propriedades

Descrição

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

Use-as para determinar as características gerais das senhas válidas. A classificação mínima padrão para o nível da senha, descrita mais adiante na tabela, é 3.

Observe que a password.validation.default.rating=2 é menor que a classificação mínima exigida, o que significa que, se a senha inserida não estiver dentro das regras configuradas, ela será classificada como 2 e, portanto, será inválida (abaixo da classificação mínima de 3).

A seguir estão as expressões regulares que identificam as características da senha. Observe que cada um é numerado. Por exemplo, "password.validation.regex.5=..." é a expressão número 5. Você usará esses números em uma seção posterior do arquivo para definir combinações diferentes que determinam o nível geral da senha.

conf_security_password.validation.regex.1=^(.)\\1+$

1 – Todos os caracteres se repetem

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – Pelo menos uma letra minúscula

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – Pelo menos uma letra maiúscula

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – Pelo menos um dígito

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – pelo menos um caractere especial (não incluindo o sublinhado _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – Pelo menos um sublinhado

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 – Mais de uma letra minúscula

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – Mais de uma letra maiúscula

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – Mais de um dígito

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – Mais de um caractere especial (sem sublinhado)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – Mais de um sublinhado

As regras a seguir determinam o nível da senha com base no conteúdo. Cada regra inclui uma ou mais expressões regulares da seção anterior e atribui uma força numérica a ela. A força numérica de uma senha é comparada ao número conf_security_password.validation.minimum.rating.required no topo deste arquivo para determinar se ela é válida ou não.

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,E,4

conf_security_password.validation.rule.3=2,9,E,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

Cada regra é numerada. Por exemplo, "password.validation.rule.3=..." é a regra número 3.

Cada regra usa o seguinte formato (à direita do sinal de igual):

<regex-index-list>,<AND|OR>,<rating>

regex-index-list é a lista de expressões regulares (por número da seção anterior), com um operador AND|OR (ou seja, considere todas ou qualquer uma das expressões listadas).

rating é a classificação da força numérica dada a cada regra.

Por exemplo, a regra 5 significa que qualquer senha com pelo menos um caractere especial OU um sublinhado recebe uma classificação de força de 4. Com password.validation.minimum.
ranking.required=3 na parte de cima do arquivo, uma senha com classificação 4 é válida.

conf_security_rbac.password.validation.enabled=true

Defina a validação de senha do controle de acesso baseado em papéis como falsa quando o logon único (SSO) estiver ativado. O padrão é verdadeiro.

Redefinindo a senha do Cassandra

Por padrão, o Cassandra é enviado com a autenticação desativada. Se você ativar a autenticação, ela usará um usuário predefinido chamado 'cassandra' com uma senha 'cassandra'. Use essa conta, defina uma senha diferente ou crie um novo usuário do Cassandra. Adicione, remova e modifique usuários usando as instruções CREATE/ALTER/DROP USER do Cassandra.

Para saber como ativar a autenticação do Cassandra, consulte Ativar a autenticação do Cassandra.

Para redefinir a senha do Cassandra, você precisa:

  • Defina a senha em qualquer nó do Cassandra, e ela vai ser transmitida para todos os nós do Cassandra no anel
  • Atualize o servidor de gerenciamento, os processadores de mensagens, os roteadores, os servidores Qpid e os servidores Postgres e a pilha BaaS em cada nó com a nova senha

Para mais informações, consulte http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html (em inglês).

Para redefinir a senha do Cassandra:

  1. Faça login em qualquer nó do Cassandra usando a ferramenta cqlsh e as credenciais padrão. Você só precisa mudar a senha em um nó do Cassandra, e ela será transmitida para todos os nós do Cassandra no anel:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    • cassIP é o endereço IP do nó do Cassandra.
    • 9042 é a porta do Cassandra.
    • O usuário padrão é cassandra.
    • A senha padrão é cassandra. Se você mudou a senha anteriormente, use a atual.
  2. Execute o seguinte comando como o prompt cqlsh> para atualizar a senha:
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Se a nova senha tiver um caractere de aspas simples, faça o escape adicionando um caractere de aspas simples.
  3. Saia da ferramenta cqlsh:
    cqlsh> exit
  4. No nó do servidor de gerenciamento, execute o seguinte comando:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Opcionalmente, você também pode transmitir um arquivo para o comando que contém o novo nome de usuário e senha:






  5. Repita a etapa 4 em:
    • Todos os processadores de mensagens
    • Todos os roteadores
    • Todos os servidores Qpid (edge-qpid-server)
    • Servidores Postgres (edge-postgres-server)
  6. No nó da pilha BaaS para a versão 4.16.05.04 e mais recentes:
    1. Execute o seguinte comando para gerar uma senha criptografada:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Este comando solicita a senha em texto simples e retorna a senha criptografada no formato:
      SECURE:ae1b6dedbf6b26aaab81c7135a93f9
    2. Defina os tokens a seguir em /opt/apigee/customer/application/usergrid.properties. Se esse arquivo não existir, crie-o:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505b239e43

      Se você alterou o nome de usuário, defina o valor de usergrid-deployment_cassandra.username corretamente.

      Inclua o prefixo "SECURE:" na senha. Caso contrário, a pilha BaaS vai interpretar o valor como não criptografado.

      Observação: cada nó da pilha BaaS tem a própria chave exclusiva usada para criptografar a senha. Portanto, você precisa gerar o valor criptografado em cada nó da pilha BaaS separadamente.
    3. Mude a propriedade do arquivo usergrid.properties para o usuário "apigee":
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Configure o nó "Stack":
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configurar
    5. Reinicie a pilha BaaS:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. Repita essas etapas para todas as confirmações da pilha BaaS.

A senha do Cassandra foi alterada.

Redefinindo senha do PostgreSQL

Por padrão, o banco de dados PostgreSQL tem dois usuários definidos: "postgres" e "apigee". A senha padrão dos dois usuários é "postgres". Use o procedimento a seguir para alterar a senha padrão.

Altere a senha em todos os nós mestres do Postgres. Se você tiver dois servidores Postgres configurados no modo mestre/de espera, basta alterar a senha no nó mestre. Consulte Configurar replicação mestre em espera para Postgres (em inglês) para mais informações.

  1. No nó mestre do Postgres, mude o diretório para /opt/apigee/apigee-postgresql/pgsql/bin.
  2. Defina a senha de usuário "postgres" do PostgreSQL:
    1. Faça login no banco de dados PostgreSQL usando o comando:
      > HBase -h localhost -d apigee -U postgres
    2. Quando solicitado, digite a senha de usuário "postgres" como "postgres".
    3. No prompt de comando do PostgreSQL, digite o seguinte comando para alterar a senha padrão:
      apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234';
    4. Saia do banco de dados PostgreSQL usando o comando:
      apigee=> \q
  3. Defina a senha do usuário "apigee" do PostgreSQL:
    1. Faça login no banco de dados PostgreSQL usando o comando:
      > WebP -h localhost -d apigee -U apigee
    2. Quando solicitado, digite a senha do usuário "apigee" como "postgres".
    3. No prompt de comando do PostgreSQL, digite o seguinte comando para alterar a senha padrão:
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
    4. Saia do banco de dados PostgreSQL usando o comando:
      apigee=> \q
  4. Defina APIGEE_HOME:
    > export APIGEE_HOME=/opt/apigee/edge-postgres-server.
  5. Criptografe a nova senha:
    > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Este comando retorna a senha criptografada, conforme mostrado abaixo. A senha criptografada começa depois do caractere ":" e não inclui ":".
    String criptografada :WheaR8U4OeMEM11erxA3Cw==
  6. Atualize o nó do servidor de gerenciamento com as novas senhas criptografadas para os usuários "postgres" e "apigee".
    1. No Servidor de gerenciamento, mude o diretório para /opt/apigee/customer/application.
    2. Edite o arquivo management-server.properties para definir as propriedades a seguir. Se o arquivo não existir, crie-o:
      Observação: algumas propriedades usam a senha do usuário encrypted "postgres" e outras usam a senha de usuário "apigee criptografada.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Verifique se o arquivo pertence ao usuário "apigee":
      > chown apigee:apigee management-server.properties
  7. Atualize todos os nós dos servidores Postgres e Qpid Server com a nova senha criptografada.
    1. No nó "Servidor Postgres" ou "Servidor Qpid", mude o diretório para /opt/apigee/customer/application.
    2. Edite os arquivos a seguir. Crie esses arquivos se eles não existirem:
      • postgres-server.properties
      • qpid-server.properties (em inglês)
    3. Adicione as seguintes propriedades aos arquivos:
      Observação: todas essas propriedades usam a senha do usuário criptografada "postgres".
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Verifique se os arquivos pertencem ao usuário "apigee":
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. Reinicie os seguintes componentes, nesta ordem:
    1. Banco de dados PostgreSQL:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Servidor Qpid:
      > /opt/apigee/apigee-service/bin/apigee-serviceedge-qpid-server restart
    3. Servidor Postgres:
      > /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Servidor de gerenciamento:
      > /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart