Edge for Private Cloud バージョン 4.17.05
インストールの完了後に、OpenLDAP、Apigee Edge システム管理者、Edge 組織ユーザー、Cassandra のパスワードをリセットできます。
OpenLDAP のパスワードのリセット
Edge の構成に応じて、OpenLDAP は次の形式でインストールできます。
- Management Server ノードにインストールされた OpenLDAP の単一インスタンス。たとえば、2 ノード、5 ノード、9 ノードの Edge 構成の場合です。
- 複数の OpenLDAP インスタンスを Management Server ノードにインストールし、OpenLDAP レプリケーションによって構成する。たとえば、12 ノードの Edge 構成です。
- OpenLDAP レプリケーションが構成された複数の OpenLDAP インスタンスを独自のノードにインストール。たとえば、13 ノードの Edge 構成です。
OpenLDAP のパスワードをリセットする方法は、構成によって異なります。
Management Server に OpenLDAP のインスタンスが 1 つインストールされている場合は、次の操作を行います。
- Management Server ノードで次のコマンドを実行して、新しい OpenLDAP パスワードを作成します。
> /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -ooldPword -n newPword - 次のコマンドを実行して、Management Server によるアクセス用の新しいパスワードを保存します。
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword
このコマンドは、Management Server を再起動します。
Management Server ノードに OpenLDAP がインストールされている OpenLDAP レプリケーション設定では、上記の手順に沿って両方の Management Server ノードでパスワードを更新します。
OpenLDAP が Management Server 以外のノードにある OpenLDAP レプリケーション設定では、まず両方の OpenLDAP ノードでパスワードを変更してから、両方の Management Server ノードでパスワードを変更します。
システム管理者パスワードを再設定する
システム管理者パスワードを再設定するには、以下の 2 つの場所でパスワードをリセットする必要があります。
- 管理サーバー
- UI
警告: システム管理者パスワードをリセットする前に Edge UI を停止する必要があります。最初に Management Server でパスワードをリセットするため、UI がしばらくの間古いパスワードを使用する場合があります。UI で古いパスワードを使用して 3 回以上呼び出しを行うと、OpenLDAP サーバーはシステム管理者アカウントを 3 分間ロックアウトします。
システム管理者パスワードをリセットするには:
- UI ノードで Edge UI を停止します。
> /opt/apigee/apigee-service/bin/apigee-service edge-ui stop - Management Server で次のコマンドを実行して、パスワードをリセットします。
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW - Edge UI のインストールで使用したサイレント構成ファイルを編集して、次のプロパティを設定します。
APIGEE_ADMINPW=newPW
SMTP=smtp.gmail.com
SMTPPORT=465
SMTPUSER=foo@gmail.com
SMTP PASSWORD=bar
SMTP SSL=y が新しいパスワードに含まれているため
SMTP が FROM="My Company.com. <myco> にリセットされています。注:SMTP が新しいパスワードである
<myco. - apigee-setup ユーティリティを使用して、構成ファイルから Edge UI のパスワードをリセットします。
> /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile - (UI で TLS が有効になっている場合のみ)管理 UI の TLS の構成の説明に従って、Edge UI で TLS を再度有効にします。
複数の Management Server がある OpenLDAP レプリケーション環境では、一方の Management Server でパスワードをリセットすると、もう一方の Management Server も自動的に更新されます。ただし、すべての Edge UI ノードを個別に更新する必要があります。
組織ユーザーのパスワードを再設定する
組織ユーザーのパスワードを再設定するには、apigee-servce ユーティリティを使用して apigee-setup を呼び出します。
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
例:
> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword
以下は、「-f」オプションで使用できる構成ファイルの例です。
USER_NAME= user@myCo.com USER_PWD= "foo12345" APIGEE_ADMINPW= adminPword
ユーザーの更新 API を使用して、ユーザー パスワードを変更することもできます。
システム管理者と組織ユーザーのパスワード ルール
API 管理ユーザーに対して、任意のレベルのパスワードの長さと安全度を適用するには、このセクションを使用します。この設定では、事前に構成されている(一意の番号が付された)一連の正規表現を使用して、パスワードの内容(大文字、小文字、数字、特殊文字など)をチェックします。これらの設定を /opt/apigee/customer/application/management-server.properties ファイルに書き込みます。このファイルが存在しない場合は作成します。
management-server.properties を編集したら、Management Server を再起動します。
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
正規表現のさまざまな組み合わせをグループ化することで、パスワードの安全度を設定できます。たとえば、大文字と小文字がそれぞれ 1 文字以上のパスワードの強度は「3」、小文字と数字が 1 つ以上含まれているパスワードの強度は「4」であると判断できます。
プロパティ |
Description |
---|---|
conf_security_password.validation.minimum です。 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum です。 |
これらを使用して、有効なパスワードの全体的な特性を判断します。パスワードの安全度に関するデフォルトの最小評価(この表で後述)は 3 です。 password.validation.default.rating=2 は、必要な最小レーティングよりも低くなっています。つまり、入力したパスワードが構成済みのルールに該当しない場合、パスワードは 2 と評価され、無効となります(最小レーティングの 3 未満)。 |
以下は、パスワードの特性を識別するための正規表現です。それぞれに番号が付いていることに注意してください。たとえば、「password.validation.regex.5=...」は、式の番号 5 です。この番号は、ファイルの後のセクションで使用して、全体的なパスワードの安全度を決定するさまざまな組み合わせを設定します。 |
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1 – すべての文字を繰り返す |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2 - 小文字の英字が 1 文字以上必要です |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3 - 大文字の英字が 1 文字以上必要です |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4 - 1 桁以上 |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5 - 特殊文字が 1 つ以上(アンダースコアの _ は除く) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6 - アンダースコアが 1 つ以上 |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7 – 小文字が 2 文字以上 |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8 - 大文字が複数ある |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9 – 2 桁以上 |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10 – 特殊文字が 2 つ以上(アンダースコアを除く) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11 - アンダースコアが 2 つ以上 |
次のルールでは、パスワードの内容に基づいてパスワードの安全度を決定します。 各ルールには、前のセクションの正規表現が 1 つ以上含まれ、数値の強度が割り当てられます。パスワードの数値強度は、このファイルの先頭にある conf_security_password.validation.minimum.rating.required の数値と比較され、パスワードが有効かどうかが決定されます。 |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2、3、4、AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
各ルールには番号が付いています。たとえば、「password.validation.rule.3=...」はルール番号 3 です。 各ルールでは次の形式を使用します(等号の右側)。 <正規表現インデックス リスト>、<AND|OR>、<評価> regex-index-list で、正規表現(前のセクションの番号順)と AND|OR 演算子を指定します(つまり、リストにあるすべての式またはいずれかを使用します)。 rating は、各ルールに与えられる強度評価の数値です。 たとえば、ルール 5 では、1 つ以上の特殊文字または 1 つのアンダースコアを含むパスワードの安全度は 4 に設定されます。password.validation.minimum を使用します。 |
conf_security_rbac.password.validation.enabled=true |
シングル サインオン(SSO)が有効になっている場合、ロールベースのアクセス制御のパスワード検証を false に設定します。デフォルトは true です。 |
Cassandra のパスワードのリセット
デフォルトでは、Cassandra は認証を無効にした状態で出荷されます。認証を有効にすると、定義済みユーザー 'cassandra とパスワード「'cassandra」が使用されます。このアカウントを使用することも、このアカウントに別のパスワードを設定することも、新しい Cassandra ユーザーを作成することもできます。Cassandra の CREATE/ALTER/DROP USER ステートメントを使用して、ユーザーを追加、削除、変更します。
Cassandra 認証を有効にする方法については、Cassandra 認証を有効にするをご覧ください。
Cassandra のパスワードを再設定するには、次の操作を行います。
- いずれかの Cassandra ノードにパスワードを設定すると、リング内のすべての Cassandra ノードにブロードキャストされます
- 各ノードの Management Server、Message Processor、Router、Qpid サーバー、Postgres サーバー、BaaS Stack を新しいパスワードで更新します。
詳細については、http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html をご覧ください。
Cassandra のパスワードをリセットするには:
- cqlsh ツールとデフォルトの認証情報を使用して、任意の Cassandra ノードにログインします。1 つの Cassandra ノードでパスワードを変更するだけで、リング内のすべての Cassandra ノードにブロードキャストされます。
> /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
ここで:- cassIP は Cassandra ノードの IP アドレスです。
- 9042 は、Cassandra のポートです。
- デフォルト ユーザーは cassandra です。
- デフォルトのパスワードは cassandra です。以前にパスワードを変更した場合は、現在のパスワードを使用します。
- 次のコマンドを cqlsh> プロンプトとして実行して、パスワードを更新します。
cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
新しいパスワードに単一引用符が含まれている場合は、その前に単一引用符を付加してエスケープします。 - cqlsh ツールを終了します。
cqlsh> exit - Management Server ノードで、次のコマンドを実行します。
> /opt/apigee/apigee-service/bin/apigee-service CASS_USERNAME -p CASS_USERNAME
CASS_management-server という新しいユーザー名とパスワードを含むコマンドにファイルを渡すこともできます。
>
CASS_USERNAME - 以下についてステップ 4 を繰り返します。
- すべての Message Processor
- すべてのルーター
- すべての Qpid サーバー(edge-qpid-server)
- Postgres サーバー(edge-postgres-server)
- バージョン 4.16.05.04 以降の BaaS Stack ノードで、次の操作を行います。
- 次のコマンドを実行して、暗号化されたパスワードを生成します。
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password
このコマンドを実行すると、書式なしテキストのパスワードの入力を求められ、暗号化されたパスワードが次の形式で返されます。
SECURE:ae1b6dedbf6b26aaab8bee7e815c91 - /opt/apigee/customer/application/usergrid.properties に次のトークンを設定します。このファイルが存在しない場合は作成します。
usergrid-deployment_cassandra.username=cassandra
usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505bc209e40 のユーザー名
ユーザー名を変更した場合は、それに応じて usergrid-deployment_cassandra.username の値を設定します。
パスワードに接頭辞「SECURE:」が含まれていることを確認します。 それ以外の場合、BaaS スタックは値を暗号化されていないと解釈します。
注: BaaS スタックの各ノードには、パスワードの暗号化に使用される独自の鍵があります。したがって、暗号化された値を各 BaaS スタックノードで個別に生成する必要があります。 - usergrid.properties ファイルの所有権を「apigee」ユーザーに変更します。
> chown apigee:apigee /opt/apigee/customer/application/usergrid.properties - スタックノードを構成します。
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid Configure - BaaS スタックを再起動します。
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart - すべての BaaS スタック ノードに上記の手順を繰り返します。
- 次のコマンドを実行して、暗号化されたパスワードを生成します。
Cassandra のパスワードが変更されました。
PostgreSQL のパスワードのリセット
デフォルトでは、PostgreSQL データベースには「postgres」と「apigee」の 2 つのユーザーが定義されています。 どちらのユーザーもデフォルトのパスワードは「postgres」です。デフォルトのパスワードを変更する手順は次のとおりです。
すべての Postgres マスターノードでパスワードを変更します。2 台の Postgres サーバーがマスター/スタンバイ モードで構成されている場合、パスワードを変更する必要があるのはマスターノード上でのみです。詳細については、Postgres のマスター / スタンバイ レプリケーションを設定するをご覧ください。
- マスター Postgres ノードで、/opt/apigee/apigee-postgresql/pgsql/bin ディレクトリに移動します。
- PostgreSQL の「postgres」ユーザー パスワードを設定します。
- 次のコマンドを使用して PostgreSQL データベースにログインします。
> psql -h localhost -d apigee -U postgres - プロンプトが表示されたら、「postgres」ユーザー パスワードとして「postgres」と入力します。
- PostgreSQL コマンド プロンプトで、次のコマンドを入力してデフォルトのパスワードを変更します。
apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234'; - 次のコマンドを使用して PostgreSQL データベースを終了します。
apigee=> \q
- 次のコマンドを使用して PostgreSQL データベースにログインします。
- PostgreSQL の「apigee」ユーザー パスワードを設定します。
- コマンド
を使用して PostgreSQL データベースにログインします。 > psql -h localhost -d apigee -U apigee - プロンプトが表示されたら、「apigee」ユーザー パスワードに「postgres」と入力します。
- PostgreSQL コマンド プロンプトで、次のコマンドを入力してデフォルトのパスワードを変更します。
apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234'; - 次のコマンドを使用して PostgreSQL データベースを終了します。
apigee=> \q
- コマンド
- [APIGEE_HOME] を設定します。
> export APIGEE_HOME=/opt/apigee/edge-postgres-server - 新しいパスワードを暗号化します。
> sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
このコマンドを実行すると、以下のように暗号化されたパスワードが返されます。暗号化されたパスワードは「:」の後に始まり、「:」は含みません。
暗号化された文字列:WheaR8U4OeMEM11erxA3Cw== - 「postgres」ユーザーと「apigee」ユーザー用に、新しい暗号化されたパスワードを使用して Management Server ノードを更新します。
- Management Server で /opt/apigee/customer/application に変更します。
- management-server.properties ファイルを編集して、次のプロパティを設定します。このファイルが存在しない場合は作成します。
注: 一部のプロパティは、暗号化された「postgres」ユーザー パスワードを使用するものと、暗号化された「apigee」ユーザー パスワードを使用する場合があります。- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- ファイルの所有者を「apigee」ユーザーにします。
> chown apigee:apigee management-server.properties
- すべての Postgres Server ノードと Qpid Server ノードを、暗号化された新しいパスワードで更新します。
- Postgres Server ノードまたは Qpid Server ノードで、/opt/apigee/customer/application ディレクトリに移動します。
- 次のファイルを編集します。これらのファイルが存在しない場合は作成します。
- postgres-server.properties
- qpid-server.properties
- 次のプロパティをファイルに追加します。
注: これらすべてのプロパティには、暗号化された「postgres」ユーザー パスワードが適用されます。- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- ファイルの所有者が「apigee」ユーザーであることを確認します。
> chown apigee:apigee postgres-server.properties
> chown apigee:apigee qpid-server.properties
- 次のコンポーネントをこの順序で再起動します。
- PostgreSQL データベース:
> /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart - Qpid Server:
> /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart - Postgres Server:
> /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart - Management Server:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- PostgreSQL データベース: