Đặt lại mật khẩu Edge

Edge cho Private Cloud phiên bản 4.17.01

Bạn có thể đặt lại người dùng OpenLDAP, quản trị viên hệ thống Apigee Edge, người dùng tổ chức Edge, và Mật khẩu Cassandra sau khi quá trình cài đặt hoàn tất.

Đặt lại mật khẩu OpenLDAP

Tuỳ thuộc vào cấu hình Edge, bạn có thể cài đặt OpenLDAP như sau:

  • Một phiên bản của OpenLDAP đã được cài đặt trên nút Máy chủ quản lý. Ví dụ: trong một Cấu hình cạnh 2 nút, 5 nút hoặc 9 nút.
  • Nhiều thực thể OpenLDAP được cài đặt trên các nút Máy chủ quản lý, được định cấu hình bằng OpenLDAP nhân bản. Ví dụ: trong cấu hình Cạnh 12 nút.
  • Nhiều thực thể OpenLDAP được cài đặt trên các nút riêng, được định cấu hình bằng OpenLDAP nhân bản. Ví dụ: trong cấu hình Cạnh 13 nút.

Cách đặt lại mật khẩu OpenLDAP tuỳ thuộc vào cấu hình của bạn.

Đối với trường hợp OpenLDAP được cài đặt trên Máy chủ quản lý, thực hiện thao tác sau:

  1. Trên nút Máy chủ quản lý, chạy lệnh sau để tạo OpenLDAP mới mật khẩu:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap thay đổi-ldap-password -o oldPword -n từ mới
  2. Chạy lệnh sau để lưu trữ mật khẩu mới cho Ban quản lý truy cập Máy chủ:
    > /opt/apigee/apigee-service/bin/apigee-service cạnh-management-server store_ldap_credentials -p newPword

    Lệnh này sẽ khởi động lại Máy chủ quản lý.

Trong phần thiết lập sao chép OpenLDAP với OpenLDAP được cài đặt trên Máy chủ quản lý nút, hãy làm theo các bước ở trên ở cả hai nút Máy chủ quản lý để cập nhật mật khẩu.

Trong thiết lập sao chép OpenLDAP với OpenLDAP trên một nút không phải Quản lý Server, hãy đảm bảo rằng trước tiên bạn thay đổi mật khẩu trên cả hai nút OpenLDAP, sau đó trên cả hai nút Nút Máy chủ quản lý.

Đặt lại mật khẩu quản trị viên hệ thống

Việc đặt lại mật khẩu quản trị viên hệ thống sẽ yêu cầu bạn đặt lại mật khẩu ở hai nơi:

  • Máy chủ quản lý
  • Giao diện người dùng

Cảnh báo: Bạn nên dừng giao diện người dùng Edge trước khi đặt lại quản trị viên hệ thống mật khẩu. Do bạn đặt lại mật khẩu trước tiên trên Máy chủ quản lý, nên có thể có khoảng thời gian giao diện người dùng vẫn đang sử dụng mật khẩu cũ. Nếu giao diện người dùng thực hiện nhiều hơn 3 lệnh gọi bằng mật khẩu cũ, máy chủ OpenLDAP sẽ khoá tài khoản quản trị viên hệ thống cho ba người phút.

Cách đặt lại mật khẩu của quản trị viên hệ thống:

  1. Trên nút giao diện người dùng, hãy dừng giao diện người dùng Edge:
    > /opt/apigee/apigee-service/bin/apigee-service cạnh-ui dừng
  2. Trên Máy chủ quản lý, hãy chạy lệnh sau để đặt lại mật khẩu:
    > /opt/apigee/apigee-service/bin/apigee-service cạnh-management-server change_sysadmin_password –o currentPW –n newPW
  3. Chỉnh sửa tệp cấu hình im lặng mà bạn đã sử dụng để cài đặt giao diện người dùng Edge để thiết lập các thông tin sau thuộc tính:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y

    Lưu ý là bạn phải bao gồm các thuộc tính SMTP khi chuyển mật khẩu mới vì tất cả các thuộc tính trên giao diện người dùng được đặt lại.
  4. Sử dụng tính năng thiết lập apigee tiện ích đặt lại mật khẩu trên giao diện người dùng Edge từ tệp cấu hình:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Chỉ khi TLS được bật trên giao diện người dùng) Bật lại TLS trên giao diện người dùng Edge bằng được mô tả trong Định cấu hình TLS cho hoạt động quản lý Giao diện người dùng.

Trong môi trường Sao chép OpenLDAP có nhiều Máy chủ quản lý, việc đặt lại mật khẩu trên một Máy chủ quản lý sẽ cập nhật Máy chủ quản lý khác tự động. Tuy nhiên, bạn phải cập nhật riêng tất cả các nút Giao diện người dùng Edge.

Đặt lại mật khẩu người dùng của tổ chức

Để đặt lại mật khẩu cho người dùng tổ chức, hãy sử dụng tiện ích apigee-servce để gọi apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Ví dụ:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

Dưới đây là ví dụ về tệp cấu hình mà bạn có thể sử dụng với phần tử "-f" tuỳ chọn:

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

Bạn cũng có thể sử dụng API Cập nhật người dùng để thay đổi mật khẩu người dùng.

Mật khẩu người dùng của tổ chức và quản trị viên hệ thống Quy tắc

Sử dụng phần này để thực thi độ dài và độ mạnh mật khẩu mong muốn cho API của bạn quản lý. Chế độ cài đặt này sử dụng một loạt chuỗi quy tắc được định cấu hình sẵn (và được đánh số duy nhất) biểu thức để kiểm tra nội dung mật khẩu (chẳng hạn như chữ hoa, chữ thường, số và ký tự). Ghi các chế độ cài đặt này vào /opt/apigee/customer/application/management-server.properties . Nếu tệp đó không tồn tại, hãy tạo tệp.

Sau khi chỉnh sửa management-server.properties, hãy khởi động lại máy chủ quản lý:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Sau đó, bạn có thể đặt xếp hạng độ mạnh mật khẩu bằng cách nhóm các tổ hợp mật khẩu khác nhau biểu thức. Ví dụ: bạn có thể xác định rằng mật khẩu có ít nhất một chữ hoa và một chữ cái chữ cái viết thường sẽ có mức xếp hạng độ mạnh là "3", nhưng mật khẩu có ít nhất một chữ thường chữ cái và một số được xếp hạng cao hơn là "4".

Thuộc tính

Nội dung mô tả

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

Sử dụng những mật khẩu này để xác định đặc điểm chung của mật khẩu hợp lệ. Mặc định xếp hạng tối thiểu cho độ mạnh mật khẩu (được mô tả sau trong bảng) là 3.

Lưu ý rằng mật khẩu.authentication.default.rating=2 thấp hơn xếp hạng tối thiểu bắt buộc, có nghĩa là nếu mật khẩu đã nhập nằm ngoài các quy tắc mà bạn định cấu hình, mật khẩu được xếp hạng 2 và do đó không hợp lệ (dưới mức phân loại tối thiểu trên 3).

Sau đây là các biểu thức chính quy xác định các đặc điểm của mật khẩu. Ghi chú mỗi loại được đánh số. Ví dụ: "password.authentication.regex.5=..." là biểu thức số 5. Bạn sẽ sử dụng các số này trong phần sau của tệp để đặt các tổ hợp khác nhau xác định độ mạnh tổng thể của mật khẩu.

conf_security_password.authentication.regex.1=^(.)\\1+$

1 – Tất cả các ký tự lặp lại

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – Ít nhất một chữ cái viết thường

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – Ít nhất một chữ cái viết hoa

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – Ít nhất một chữ số

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – Ít nhất một ký tự đặc biệt (không bao gồm dấu gạch dưới _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – Ít nhất một dấu gạch dưới

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 – Nhiều chữ cái viết thường

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – Nhiều hơn một chữ cái viết hoa

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – Nhiều hơn một chữ số

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – Nhiều hơn một ký tự đặc biệt (không bao gồm dấu gạch dưới)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – Nhiều dấu gạch dưới

Các quy tắc sau đây xác định độ mạnh của mật khẩu dựa trên nội dung mật khẩu. Mỗi quy tắc bao gồm một hoặc nhiều biểu thức chính quy từ phần trước và chỉ định độ mạnh dạng số vào nó. Độ mạnh của một mật khẩu được so sánh với số conf_security_password.authentication.minimum.rating.required ở đầu tệp này để xác định xem mật khẩu có hợp lệ hay không.

conf_security_password.processing.rules.1=1,AND,0

conf_security_password.Dữ liệu hợp lệ.quy tắc.2=2,3,4,AND,4

conf_security_password.processing.rules.3=2;9;AND,4

conf_security_password.authentication.rules.4=3,9,VÀ,4

conf_security_password.processing.rules.5=5,6,HOẶC,4

conf_security_password.processing.rules.6=3,2,AND,3

conf_security_password.xác thực.quy tắc.7=2;9; VÀ,3

conf_security_password.processing.rules.8=3,9,VÀ,3

Mỗi quy tắc được đánh số. Ví dụ: "password.Dữ liệu xác thực.quy tắc.3=..." là quy tắc số 3.

Mỗi quy tắc sử dụng định dạng sau (bên phải dấu bằng):

<regex-index-list>,<AND|OR>,<rating>

regex-index-list là danh sách các biểu thức chính quy (theo số từ phần trước), cùng với toán tử AND|OR (nghĩa là xem xét tất cả hoặc bất kỳ biểu thức nào được liệt kê).

điểm xếp hạng là điểm xếp hạng độ mạnh dạng số cho mỗi quy tắc.

Ví dụ: quy tắc 5 có nghĩa là bất kỳ mật khẩu nào có ít nhất một ký tự đặc biệt HOẶC một ký tự đặc biệt dấu gạch dưới nhận được điểm xếp hạng độ mạnh là 4. Với password.verification.minimum.
Xếp hạng.required=3 ở đầu tệp, mật khẩu có mức phân loại 4 là hợp lệ.

conf_security_rbac.password.validation.enabled=true

Đặt xác thực mật khẩu kiểm soát quyền truy cập dựa trên vai trò thành false khi đăng nhập một lần (SSO) đã được bật. Mặc định là đúng.

Đặt lại mật khẩu Cassandra

Theo mặc định, Cassandra gửi kèm tính năng xác thực bị tắt. Nếu bạn bật tính năng xác thực, sử dụng người dùng được xác định trước có tên là 'cassandra' bằng mật khẩu 'cassandra'. Bạn có thể sử dụng tài khoản này, hãy đặt mật khẩu khác cho tài khoản này hoặc tạo người dùng Cassandra mới. Thêm, xoá và sửa đổi người dùng bằng cách sử dụng câu lệnh Cassandra CREATE/ALTER/DROP USER.

Để biết thông tin về cách bật tính năng xác thực Cassandra, hãy xem bài viết Bật tính năng xác thực Cassandra.

Để đặt lại mật khẩu Cassandra, bạn phải:

  • Hãy đặt mật khẩu trên một nút Cassandra bất kỳ và mật khẩu đó sẽ được phát cho tất cả các Cassandra các nút trong vòng
  • Cập nhật Máy chủ quản lý, Bộ xử lý thư, Bộ định tuyến, máy chủ Qpid, máy chủ Postgres, và Ngăn xếp BaaS trên mỗi nút bằng mật khẩu mới

Để biết thêm thông tin, hãy truy cập vào http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Cách đặt lại mật khẩu Cassandra:

  1. Đăng nhập vào một nút Cassandra bất kỳ bằng công cụ cqlsh và tuỳ chọn mặc định thông tin xác thực. Bạn chỉ phải thay đổi mật khẩu trên một nút Cassandra và mật khẩu đó sẽ truyền tin đến tất cả các nút Cassandra trong vòng:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p xương rồng cassandra

    Địa điểm:
    • cassIP là IP địa chỉ của nút Cassandra.
    • 9042 là Cassandra cổng.
    • Người dùng mặc định là cassandra.
    • Mật khẩu mặc định là cassandra. Nếu bạn đã đổi mật khẩu trước đây, hãy sử dụng mật khẩu hiện tại.
  2. Chạy lệnh sau dưới dạng lời nhắc cqlsh> để cập nhật mật khẩu:
    cqlsh> LUÔN NGƯỜI DÙNG cassandra VỚI MẬT KHẨU "NEW_PASSWORD';

    Nếu mật khẩu mới chứa một ký tự trích dẫn đơn, hãy thoát khỏi mật khẩu đó bằng cách đặt một ký tự duy nhất trước đó ký tự trích dẫn.
  3. Thoát khỏi công cụ cqlsh:
    cqlsh> thoát
  4. Trên nút Máy chủ quản lý, hãy chạy lệnh sau:
    > /opt/apigee/apigee-service/bin/apigee-service cạnh-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Nếu muốn, bạn có thể chuyển tệp vào lệnh chứa tên người dùng và mật khẩu mới:
    > apigee-service cạnh-management-server store_cassandra_credentials -f configFile

    Trong trường hợp configFile chứa đang theo dõi:
    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD

    Lệnh này tự động khởi động lại Máy chủ quản lý.
  5. Lặp lại bước 4 trên:
    • Tất cả bộ xử lý tin nhắn
    • Tất cả bộ định tuyến
    • Tất cả máy chủ Qpid (edge-qpid-server)
    • Máy chủ Postgres (Edge-postgres-server)
  6. Trên nút Ngăn xếp BaaS cho phiên bản 4.16.05.04 trở lên:
    1. Chạy lệnh sau để tạo một mật khẩu đã mã hoá:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Lệnh này nhắc bạn nhập mật khẩu văn bản thuần tuý và trả về mật khẩu đã mã hoá trong biểu mẫu:
      AN TOÀN:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. Đặt các mã thông báo sau trong /opt/apigee/customer/application/usergrid.properties. Nếu tệp đó không tồn tại, hãy tạo tệp:
      usergrid-baseline_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050

      Ví dụ này sử dụng tên người dùng mặc định cho Cassandra. Nếu bạn đã thay đổi tên người dùng, hãy đặt giá trị của usergrid-Deployment_cassandra.username theo cách phù hợp.

      Hãy đảm bảo bạn đã đưa thông tin "bảo mật:" vào mật khẩu. Nếu không, Ngăn xếp BaaS sẽ diễn giải giá trị là chưa được mã hoá.

      Lưu ý: Mỗi nút Ngăn xếp BaaS có một khoá riêng dùng để mã hoá mật khẩu. Do đó, bạn phải tạo giá trị đã mã hoá trên mỗi nút Ngăn xếp BaaS riêng lẻ.
    3. Thay đổi quyền sở hữu của tệp usergrid.properties thành phần tử "apigee" người dùng:
      > đồng thanh apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Định cấu hình nút Ngăn xếp:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid định cấu hình
    5. Khởi động lại ngăn xếp BaaS:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid khởi động lại
    6. Lặp lại các bước này cho tất cả các cái gật đầu của Ngăn xếp BaaS.

Mật khẩu Cassandra hiện đã được thay đổi.

Đặt lại mật khẩu PostgreSQL

Theo mặc định, cơ sở dữ liệu PostgreSQL có 2 người dùng được xác định: "postgres" và "apigee". Cả hai người dùng đều có mật khẩu mặc định là "postgres". Hãy sử dụng quy trình sau để thay đổi mật khẩu mặc định.

Thay đổi mật khẩu trên tất cả các nút chính của Postgres. Nếu bạn có 2 máy chủ Postgres được định cấu hình ở chế độ chính/chế độ chờ, thì bạn chỉ phải thay đổi Mật khẩu trên nút chính. Xem Thiết lập tính năng Sao chép chính-dự phòng cho Postgres để tìm hiểu thêm.

  1. Trên nút Chính Postgres, hãy thay đổi thư mục thành /opt/apigee/apigee-postgresql/pgsql/bin.
  2. Đặt "postgres" PostgreSQL mật khẩu của người dùng:
    1. Đăng nhập vào cơ sở dữ liệu PostgreSQL bằng lệnh:
      > psql -h localhost -d apigee – Hậu tố
    2. Khi được nhắc, hãy nhập 'postgres' mật khẩu của người dùng là 'postgres'.
    3. Tại dấu nhắc lệnh PostgreSQL, hãy nhập lệnh sau để thay đổi giá trị mặc định mật khẩu:
      apigee=> Bài đăng ALTER NGƯỜI DÙNG CÓ MẬT KHẨU "apigee1234";
    4. Thoát khỏi cơ sở dữ liệu PostgreSQL bằng lệnh:
      apigee=> \q
  3. Đặt giá trị "apigee" cho PostgreSQL mật khẩu của người dùng:
    1. Đăng nhập vào cơ sở dữ liệu PostgreSQL bằng lệnh:
      > psql -h localhost -d apigee API -U
    2. Khi được nhắc, hãy nhập "api" (API) mật khẩu của người dùng là 'postgres'.
    3. Tại dấu nhắc lệnh PostgreSQL, hãy nhập lệnh sau để thay đổi giá trị mặc định mật khẩu:
      apigee=> ALTER NGƯỜI DÙNG ỦY QUYỀN VỚI MẬT KHẨU "apigee1234";
    4. Thoát khỏi cơ sở dữ liệu PostgreSQL bằng lệnh:
      apigee=> \q
  4. Thiết lập APIGEE_HOME:
    > xuất APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Mã hoá mật khẩu mới:
    > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Lệnh này trả về mật khẩu đã mã hoá như thể hiện dưới đây. Mật khẩu đã mã hoá bắt đầu sau ":" và không bao gồm ":".
    Chuỗi đã mã hoá :WheaR8U4OeMEM11erxA3Cw==
  6. Cập nhật nút Máy chủ quản lý bằng các mật khẩu đã mã hoá mới cho "postgres" và "apigee" người dùng.
    1. Trên Máy chủ quản lý, thay đổi thư mục thành /opt/apigee/customer/application.
    2. Chỉnh sửa tệp management-server.properties thành đặt các thuộc tính sau. Nếu tệp này không tồn tại, hãy tạo tệp:
      Lưu ý: Một số thuộc tính lấy "postgres" đã mã hoá mật khẩu của người dùng và một số khác lại lấy "apigee" đã mã hoá người dùng mật khẩu.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Đảm bảo rằng tệp này thuộc quyền sở hữu của "apigee" người dùng:
      > chown apigee:apigee management-server.properties
  7. Cập nhật tất cả các nút Máy chủ Postgres và Máy chủ Qpid bằng mật khẩu mới được mã hoá.
    1. Trên nút Máy chủ Postgres hoặc Máy chủ Qpid, hãy thay đổi thư mục thành /opt/apigee/customer/application.
    2. Chỉnh sửa các tệp sau. Nếu các tệp này không tồn tại, hãy tạo tệp:
      • postgres-server.properties
      • qpid-server.properties
    3. Thêm các thuộc tính sau vào tệp:
      Lưu ý: Tất cả các thuộc tính này lấy 'postgres' được mã hoá mật khẩu của người dùng.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Đảm bảo rằng các tệp thuộc quyền sở hữu của "apigee" người dùng:
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. Khởi động lại các thành phần sau theo thứ tự sau:
    1. Cơ sở dữ liệu PostgreSQL:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql khởi động lại
    2. Máy chủ Qpid:
      > /opt/apigee/apigee-service/bin/apigee-service cạnh-qpid-server khởi động lại
    3. Máy chủ Postgres:
      > /opt/apigee/apigee-service/bin/apigee-service cạnh-postgres-server khởi động lại
    4. Máy chủ quản lý:
      > /opt/apigee/apigee-service/bin/apigee-service khởi động lại cạnh-management-server