Edge-Passwörter zurücksetzen

Edge for Private Cloud Version 4.17.05

Sie können die Passwörter für OpenLDAP, Apigee Edge-Systemadministrator, Edge-Organisationsnutzer und Cassandra-Passwörter nach Abschluss der Installation zurücksetzen.

OpenLDAP-Passwort zurücksetzen

Abhängig von Ihrer Edge-Konfiguration kann OpenLDAP installiert werden als:

  • Eine einzelne OpenLDAP-Instanz, die auf dem Knoten des Verwaltungsservers installiert ist. Beispiel: In einer Edge-Konfiguration mit 2, 5 oder 9 Knoten.
  • Mehrere OpenLDAP-Instanzen, die auf Management Server-Knoten installiert sind und mit OpenLDAP-Replikation konfiguriert wurden. Beispiel: In einer Edge-Konfiguration mit 12 Knoten.
  • Mehrere OpenLDAP-Instanzen, die auf ihren eigenen Knoten installiert sind und mit OpenLDAP-Replikation konfiguriert sind. Beispiel: In einer Edge-Konfiguration mit 13 Knoten.

Wie Sie das OpenLDAP-Passwort zurücksetzen, hängt von Ihrer Konfiguration ab.

Führen Sie für eine einzelne OpenLDAP-Instanz, die auf dem Verwaltungsserver installiert ist, folgende Schritte aus:

  1. Führen Sie auf dem Verwaltungsserver-Knoten den folgenden Befehl aus, um das neue OpenLDAP-Passwort zu erstellen:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. Führen Sie den folgenden Befehl aus, um das neue Passwort für den Zugriff durch den Verwaltungsserver zu speichern:
    > /opt/apigee/apigee-service/bin/apigee-service transit-management-server store_ldap_credentials -p newPword

    Dieser Befehl startet den Verwaltungsserver neu.

Führen Sie bei einer OpenLDAP-Replikationseinrichtung mit OpenLDAP, die auf Management Server-Knoten installiert ist die oben genannten Schritte auf beiden Management Server-Knoten aus, um das Passwort zu aktualisieren.

Achten Sie bei einer Einrichtung einer OpenLDAP-Replikation, bei der sich OpenLDAP auf einem anderen Knoten als auf dem Verwaltungsserver befindet, darauf, dass Sie zuerst das Passwort auf beiden und dann auf beiden Verwaltungsserverknoten ändern.

Systemadministrator-Passwort zurücksetzen

Wenn Sie das Passwort für den Systemadministrator zurücksetzen möchten, müssen Sie das Passwort an zwei Stellen zurücksetzen:

  • Verwaltungsserver
  • UI

Warnung: Sie sollten die Edge-Benutzeroberfläche beenden, bevor Sie das Systemadministratorpasswort zurücksetzen. Da Sie das Passwort zuerst auf dem Verwaltungsserver zurücksetzen, kann es kurze Zeit geben, in der die UI noch das alte Passwort verwendet. Wenn die UI mehr als drei Aufrufe mit dem alten Passwort durchführt, sperrt der OpenLDAP-Server das Systemadministratorkonto für drei Minuten.

So setzen Sie das Passwort für den Systemadministrator zurück:

  1. Beenden Sie auf dem UI-Knoten die Edge-Benutzeroberfläche:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-ui stop
  2. Führen Sie auf dem Management Server den folgenden Befehl aus, um das Passwort zurückzusetzen:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. Bearbeiten Sie die stille Konfigurationsdatei, die Sie zur Installation der Edge-Benutzeroberfläche verwendet haben, um die folgenden Attribute festzulegen:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORT=bar
    SMTPSSL=y
    SMTPMAILFROM="
    Wenn die neuen Eigenschaften für die SMTP-Benutzeroberfläche <myco@company.com> übergeben werden, da alle Attribute für die SMTP-Benutzeroberfläche hinzugefügt werden
    Hinweis: alle Attribute für die SMTP-Benutzeroberfläche müssen auf die neue SMTP-Benutzeroberfläche übertragen werden.
  4. Verwenden Sie das Dienstprogramm apigee-setup, um das Passwort in der Edge-Benutzeroberfläche über die Konfigurationsdatei zurückzusetzen:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Nur wenn TLS in der Benutzeroberfläche aktiviert ist) Aktivieren Sie TLS in der Edge-Benutzeroberfläche wieder, wie unter TLS für die Verwaltungs-UI konfigurieren beschrieben.

In einer Umgebung mit OpenLDAP-Replikation mit mehreren Verwaltungsservern wird beim Zurücksetzen des Passworts auf einem Verwaltungsserver der andere Verwaltungsserver automatisch aktualisiert. Sie müssen jedoch alle Edge-UI-Knoten separat aktualisieren.

Passwort für Nutzer der Organisation zurücksetzen

Verwenden Sie zum Zurücksetzen des Passworts für einen Organisationsbenutzer das Dienstprogramm apigee-servce zum Aufrufen von Apigee-Setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Beispiel:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

Unten sehen Sie ein Beispiel für eine Konfigurationsdatei, die Sie mit der Option "-f" verwenden können:

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

Sie können das Nutzerpasswort auch mit der API Nutzer aktualisieren ändern.

Systemadministrator- und Organisationsnutzerpasswortregeln

In diesem Abschnitt können Sie die gewünschte Passwortlänge und -stärke für die Nutzer der API-Verwaltung erzwingen. Die Einstellungen verwenden eine Reihe vorkonfigurierter (und eindeutig nummerierter) regulärer Ausdrücke, um Passwortinhalte (z. B. Groß- und Kleinschreibung, Ziffern und Sonderzeichen) zu prüfen. Schreiben Sie diese Einstellungen in die Datei /opt/apigee/customer/application/management-server.properties. Wenn diese Datei nicht vorhanden ist, erstellen Sie sie.

Starten Sie nach der Bearbeitung von management-server.properties den Verwaltungsserver neu:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Sie können dann verschiedene Kombinationen regulärer Ausdrücke gruppieren und so die Bewertung der Passwortstärke festlegen. Sie können beispielsweise feststellen, dass ein Passwort mit mindestens einem Groß- und einem Kleinbuchstaben die Stärkenbewertung „3“ erhält, ein Passwort mit mindestens einem Kleinbuchstaben und einer Ziffer jedoch eine stärkere Bewertung von „4“.

Properties

Beschreibung

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

Anhand dieser Informationen können Sie die Eigenschaften gültiger Passwörter ermitteln. Die standardmäßige Mindestbewertung für die Passwortstärke (wird weiter unten in der Tabelle beschrieben) ist 3.

Das Passwort "password.validation.default.rating=2" ist niedriger als die erforderliche Mindestbewertung. Wenn ein eingegebenes Passwort also außerhalb der von Ihnen konfigurierten Regeln liegt, erhält es die Bewertung 2 und ist daher ungültig (unter der Mindestbewertung 3).

Im Folgenden finden Sie reguläre Ausdrücke, die Passwortmerkmale identifizieren. Alle sind nummeriert. Beispiel: "password.validation.regex.5=..." ist Ausdruck Nummer 5. Sie verwenden diese Zahlen in einem späteren Abschnitt der Datei, um verschiedene Kombinationen festzulegen, die die allgemeine Passwortstärke bestimmen.

conf_security_password.validation.regex.1=^(.)\\1+$

1 – Alle Zeichen wiederholen sich

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – Mindestens ein Kleinbuchstabe

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – Mindestens ein Großbuchstaben

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – mindestens eine Ziffer

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5: Mindestens ein Sonderzeichen (ohne Unterstrich _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6: Mindestens ein Unterstrich

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 – mehrere Kleinbuchstaben

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – mehrere Großbuchstaben

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9: mehr als eine Ziffer

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10: Mehrere Sonderzeichen (ohne Unterstrich)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11: Mehrere Unterstriche

Mit den folgenden Regeln wird die Passwortstärke basierend auf dem Passwortinhalt festgelegt. Jede Regel enthält einen oder mehrere reguläre Ausdrücke aus dem vorherigen Abschnitt und weist ihm eine numerische Stärke zu. Die numerische Stärke eines Passworts wird mit der Zahl conf_security_password.validation.minimum.rating.required am Anfang dieser Datei verglichen, um festzustellen, ob ein Passwort gültig ist oder nicht.

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,ODER,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

Jede Regel ist nummeriert. Beispiel: "password.validation.rule.3=..." ist Regel Nummer 3.

Jede Regel hat das folgende Format (rechts vom Gleichheitszeichen):

<Regex-Index-Liste>,<UND|ODER>,<Bewertung>

regex-index-list ist die Liste regulärer Ausdrücke (nach Zahl aus dem vorherigen Abschnitt) mit dem Operator AND|OR (d. h. es werden alle oder einen der aufgelisteten Ausdrücke berücksichtigt).

rating ist die numerische Stärkebewertung für jede Regel.

Regel 5 bedeutet beispielsweise, dass jedes Passwort mit mindestens einem Sonderzeichen ODER einem Unterstrich die Stärkebewertung 4 erhält. Mit password.validation.minimum.
rating.required=3 oben in der Datei ist ein Passwort mit der Bewertung 4 gültig.

conf_security_rbac.password.validation.enabled=true

Setzen Sie die Validierung des Passworts für die rollenbasierte Zugriffssteuerung auf "false", wenn die Einmalanmeldung (SSO) aktiviert ist. Der Standardwert ist „true“.

Cassandra-Passwort wird zurückgesetzt

Standardmäßig ist beim Versand von Cassandra die Authentifizierung deaktiviert. Wenn Sie die Authentifizierung aktivieren, wird ein vordefinierter Nutzer namens 'cassandra" mit dem Passwort "cassandra" verwendet. Sie können dieses Konto verwenden, ein anderes Passwort dafür festlegen oder einen neuen Cassandra-Nutzer erstellen. Mit den Cassandra-Anweisungen CREATE/ALTER/DROP USER können Sie Nutzer hinzufügen, entfernen und ändern.

Informationen zum Aktivieren der Cassandra-Authentifizierung finden Sie unter Cassandra-Authentifizierung aktivieren.

Gehen Sie folgendermaßen vor, um das Cassandra-Passwort zurückzusetzen:

  • Wenn Sie das Passwort auf einem beliebigen Cassandra-Knoten festlegen, wird es an alle Cassandra-Knoten im Ring übertragen
  • Aktualisieren Sie den Verwaltungsserver, die Nachrichtenprozessoren, die Router, die Qpid-Server, die Postgres-Server und den BaaS-Stack auf jedem Knoten mit dem neuen Passwort.

Weitere Informationen finden Sie unter http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

So setzen Sie das Cassandra-Passwort zurück:

  1. Melden Sie sich mit dem Tool cqlsh und den Standardanmeldedaten bei einem beliebigen Cassandra-Knoten an. Sie müssen das Passwort nur auf einem Cassandra-Knoten ändern. Es wird dann an alle Cassandra-Knoten im Ring übertragen:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Dabei gilt:
    • cassIP ist die IP-Adresse des Cassandra-Knotens.
    • 9042 ist der Cassandra-Port.
    • Der Standardnutzer ist cassandra.
    • Das Standardpasswort lautet cassandra. Wenn Sie das Passwort zuvor geändert haben, verwenden Sie das aktuelle Passwort.
  2. Führen Sie den folgenden Befehl in der Eingabeaufforderung cqlsh> aus, um das Passwort zu aktualisieren:
    cqlsh> ALTER USER cassandra WITH PASSWORT 'NEW_PASSWORD';

    Wenn das neue Passwort ein einfaches Anführungszeichen enthält, verwenden Sie ein einzelnes Anführungszeichen als Escapezeichen dafür.
  3. Schließen Sie das Tool cqlsh:
    cqlsh> Exit
  4. Führen Sie auf dem Management Server-Knoten den folgenden Befehl aus:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORT


    Optional können Sie eine Datei an den Befehl übergeben, die den neuen Nutzernamen und das neue Passwort enthält:





  5. Wiederholen Sie Schritt 4 auf:
    • Alle Message Processor
    • Alle Router
    • Alle Qpid-Server (edge-qpid-server)
    • Postgres-Server (Edge-Postgres-Server)
  6. Im BaaS-Stack-Knoten ab Version 4.16.05.04:
    1. Führen Sie den folgenden Befehl aus, um ein verschlüsseltes Passwort zu generieren:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Dieser Befehl fordert Sie zur Eingabe des Nur-Text-Passworts auf und gibt das verschlüsselte Passwort im folgenden Format zurück:
      SECURE:ae1b6dedbf6b26aaaab8f305b5b33075b12
    2. Legen Sie die folgenden Tokens in /opt/apigee/customer/application/usergrid.properties fest. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e example
      Cassandra
      verwendet den Standardnutzernamen für example
      Cassandra
      Wenn Sie den Nutzernamen geändert haben, legen Sie den Wert von usergrid-deployment_cassandra.username entsprechend fest.

      Achten Sie darauf, das Präfix SECURE: im Passwort anzugeben. Andernfalls interpretiert der BaaS-Stack den Wert als unverschlüsselt.

      Hinweis: Jeder BaaS-Stackknoten hat einen eigenen eindeutigen Schlüssel, der zum Verschlüsseln des Passworts verwendet wird. Daher müssen Sie den verschlüsselten Wert auf jedem BaaS-Stack-Knoten separat generieren.
    3. Ändern Sie die Eigentümerschaft der Datei usergrid.properties in den Benutzer „apigee“:
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Konfigurieren Sie den Stackknoten:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. Starten Sie den BaaS-Stack neu:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid neu starten
    6. Wiederholen Sie diese Schritte für alle BaaS-Stack-Nicken.

Das Cassandra-Passwort wurde jetzt geändert.

PostgreSQL-Passwort wird zurückgesetzt

Standardmäßig sind für die PostgreSQL-Datenbank zwei Benutzer definiert: „postgres“ und „apigee“. Beide Nutzer haben das Standardpasswort „postgres“. So ändern Sie das Standardpasswort:

Ändern Sie das Passwort auf allen Postgres-Masterknoten. Wenn Sie zwei Postgres-Server im Master-/Standby-Modus konfiguriert haben, müssen Sie nur das Passwort auf dem Masterknoten ändern. Weitere Informationen finden Sie unter Master-Standby-Replikation für Postgres einrichten.

  1. Ändern Sie auf dem Master Postgres-Knoten das Verzeichnis in /opt/apigee/apigee-postgresql/pgsql/bin.
  2. Legen Sie das Passwort für den PostgreSQL-Nutzer „postgres“ fest:
    1. Melden Sie sich mit folgendem Befehl in der PostgreSQL-Datenbank an:
      > psql -h localhost -d apigee -U postgres
    2. Wenn Sie dazu aufgefordert werden, geben Sie das Nutzerpasswort „postgres“ als „postgres“ ein.
    3. Geben Sie an der PostgreSQL-Eingabeaufforderung den folgenden Befehl ein, um das Standardpasswort zu ändern:
      apigee=> ALTER USER postgres WITH PASSWORT 'apigee1234';
    4. Beenden Sie die PostgreSQL-Datenbank mit dem folgenden Befehl:
      apigee=> \q
  3. Legen Sie das PostgreSQL-Nutzerpasswort „apigee“ fest:
    1. Melden Sie sich mit folgendem Befehl in der PostgreSQL-Datenbank an:
      > psql -h localhost -d apigee -U apigee
    2. Wenn Sie dazu aufgefordert werden, geben Sie das Benutzerpasswort „apigee“ als „postgres“ ein.
    3. Geben Sie an der PostgreSQL-Eingabeaufforderung den folgenden Befehl ein, um das Standardpasswort zu ändern:
      apigee=> ALTER USER apigee WITH PASSWORT 'apigee1234';
    4. Beenden Sie die PostgreSQL-Datenbank mit dem folgenden Befehl:
      apigee=> \q
  4. Legen Sie APIGEE_HOME fest:
    > export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Verschlüsseln Sie das neue Passwort:
    > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Dieser Befehl gibt das verschlüsselte Passwort wie unten dargestellt zurück. Das verschlüsselte Passwort beginnt nach dem Zeichen ":" und enthält nicht das ":".
    Verschlüsselter String: WheaR8U4OeMEM11erxA3Cw==
  6. Aktualisieren Sie den Management Server-Knoten mit den neuen verschlüsselten Passwörtern für die Nutzer "postgres" und "apigee".
    1. Ändern Sie auf dem Management Server das Verzeichnis in /opt/apigee/customer/application.
    2. Bearbeiten Sie die Datei management-server.properties, um die folgenden Attribute festzulegen. Wenn diese Datei nicht vorhanden ist, erstellen Sie sie:
      Hinweis: Einige Attribute verwenden das verschlüsselte Nutzerpasswort „postgres“ und andere das verschlüsselte Nutzerpasswort „apigee“.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Achten Sie darauf, dass die Datei dem Benutzer „apigee“ gehört:
      > chown apigee:apigee management-server.properties
  7. Aktualisieren Sie alle Postgres Server- und Qpid Server-Knoten mit dem neuen verschlüsselten Passwort.
    1. Ändern Sie auf dem Postgres-Server- oder Qpid-Server-Knoten das Verzeichnis in /opt/apigee/customer/application.
    2. Bearbeiten Sie die folgenden Dateien. Falls diese Dateien nicht vorhanden sind, erstellen Sie sie:
      • postgres-server.properties
      • qpid-server.properties
    3. Fügen Sie den Dateien die folgenden Attribute hinzu:
      Hinweis: Für alle diese Attribute wird das verschlüsselte Nutzerpasswort „postgres“ verwendet.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Achten Sie darauf, dass die Dateien dem Nutzer „apigee“ gehören:
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. Starten Sie die folgenden Komponenten in der angegebenen Reihenfolge neu:
    1. PostgreSQL-Datenbank:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql-Neustart
    2. Qpid-Server:
      > /opt/apigee/apigee-service/bin/apigee-service Edge-qpid-server neu gestartet
    3. Postgres-Server:
      > /opt/apigee/apigee-service/bin/apigee-service-Edge-postgres-server-Neustart
    4. Verwaltungsserver:
      > /opt/apigee/apigee-service/bin/apigee-service Edge-Management-Serverneustart