Edge untuk Private Cloud v. 4.17.05
Anda dapat mereset sandi OpenLDAP, administrator sistem Apigee Edge, pengguna organisasi Edge, dan sandi Cassandra setelah penginstalan selesai.
Reset Sandi OpenLDAP
Bergantung pada konfigurasi Edge Anda, OpenLDAP dapat diinstal sebagai:
- Satu instance OpenLDAP yang diinstal di node Server Pengelolaan. Misalnya, dalam konfigurasi Edge 2 node, 5 node, atau 9 node.
- Beberapa instance OpenLDAP diinstal di node Server Pengelolaan, yang dikonfigurasi dengan replikasi OpenLDAP. Misalnya, dalam konfigurasi Edge 12 node.
- Beberapa instance OpenLDAP diinstal di node-nya sendiri, yang dikonfigurasi dengan replikasi OpenLDAP. Misalnya, dalam konfigurasi Edge 13 node.
Cara mereset sandi OpenLDAP bergantung pada konfigurasi Anda.
Untuk satu instance OpenLDAP yang diinstal di Server Pengelolaan, lakukan hal berikut:
- Pada node Management Server, jalankan perintah berikut untuk membuat sandi OpenLDAP baru:
> /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword - Jalankan perintah berikut guna menyimpan sandi baru untuk diakses oleh Server
Pengelolaan:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword
Perintah ini memulai ulang Server Pengelolaan.
Pada penyiapan replikasi OpenLDAP dengan OpenLDAP yang diinstal di node Server Pengelolaan, ikuti langkah-langkah di atas di kedua node Server Pengelolaan untuk memperbarui sandi.
Dalam penyiapan replikasi OpenLDAP dengan OpenLDAP berada di node selain Server Pengelolaan, pastikan Anda terlebih dahulu mengubah sandi di kedua node OpenLDAP, lalu di kedua node Server Pengelolaan.
Reset Sandi Admin Sistem
Mereset sandi admin sistem mengharuskan Anda mereset sandi di dua tempat:
- Server Pengelolaan
- UI
Peringatan: Anda harus menghentikan UI Edge sebelum mereset sandi admin sistem. Karena Anda mereset sandi terlebih dahulu di Server Pengelolaan, mungkin akan ada waktu singkat ketika UI masih menggunakan sandi lama. Jika UI melakukan lebih dari tiga panggilan menggunakan sandi lama, server OpenLDAP akan mengunci akun admin sistem selama tiga menit.
Untuk mereset sandi admin sistem:
- Pada node UI, hentikan UI Edge:
> /opt/apigee/apigee-service/bin/apigee-service edge-ui stop - Di Server Pengelolaan, jalankan perintah berikut untuk mereset sandi:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW - Edit file konfigurasi senyap yang Anda gunakan untuk menginstal UI Edge untuk menetapkan properti
berikut:
APIGEE_ADMINPW=newPW
SMTPHOST=smtp.gmail.com
SMTPPORT=465
SMTPUSER=foo@gmail.com
SMTPPASSWORD=bar
SSL=y
SMTPMailFROM="My Company <myco@company.com>"
- Gunakan utilitas apigee-setup untuk mereset sandi di UI Edge dari file konfigurasi:
> /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile - (Hanya jika TLS diaktifkan di UI) Aktifkan kembali TLS di UI Edge seperti yang dijelaskan dalam Mengonfigurasi TLS untuk UI pengelolaan.
Dalam lingkungan replikasi OpenLDAP dengan beberapa Server Pengelolaan, mereset sandi di satu Server Pengelolaan akan otomatis memperbarui Server Pengelolaan lainnya. Namun, Anda harus mengupdate semua node UI Edge secara terpisah.
Reset Sandi Pengguna Organisasi
Untuk mereset sandi bagi pengguna organisasi, gunakan utilitas apigee-servce untuk menjalankan apigee-setup:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
Contoh:
> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword
Di bawah ini adalah contoh file konfigurasi yang dapat Anda gunakan dengan opsi "-f":
USER_NAME= user@myCo.com USER_PWD= "foo12345" APIGEE_ADMINPW= adminPword
Anda juga dapat menggunakan Update user API untuk mengubah sandi pengguna.
Admin Sistem dan Aturan Sandi Pengguna Organisasi
Gunakan bagian ini untuk menerapkan tingkat panjang dan kekuatan sandi yang diinginkan untuk pengguna pengelolaan API Anda. Setelan ini menggunakan serangkaian ekspresi reguler yang telah dikonfigurasi (dan diberi nomor unik) untuk memeriksa konten sandi (seperti huruf besar, huruf kecil, angka, dan karakter khusus). Tulis setelan ini ke file /opt/apigee/customer/application/management-server.properties. Jika file tersebut tidak ada, buatlah file tersebut.
Setelah mengedit management-server.properties, mulai ulang server pengelolaan:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Lalu, Anda dapat menetapkan rating kekuatan sandi dengan mengelompokkan berbagai kombinasi ekspresi reguler. Misalnya, Anda dapat menentukan bahwa sandi dengan setidaknya satu huruf besar dan satu huruf kecil mendapatkan rating kekuatan "3", tetapi sandi dengan setidaknya satu huruf kecil dan satu angka mendapatkan rating "4" yang lebih kuat.
Properti |
Deskripsi |
---|---|
{i>conf_security_password.validation.minimum<i}. conf_security_password.validation.default.rating=2 {i>conf_security_password.validation.minimum<i}. |
Gunakan ini untuk menentukan karakteristik keseluruhan dari {i>password<i} yang valid. Rating minimum default untuk kekuatan sandi (dijelaskan nanti dalam tabel) adalah 3. Perhatikan bahwa password.validation.default.rating=2 lebih rendah dari rating minimum yang diperlukan, yang berarti jika sandi yang dimasukkan berada di luar aturan yang Anda konfigurasikan, sandi diberi rating 2 dan karenanya tidak valid (di bawah rating minimum 3). |
Berikut adalah ekspresi reguler yang mengidentifikasi karakteristik sandi. Perhatikan bahwa setiap project diberi nomor. Misalnya, "password.validation.regex.5=..." adalah ekspresi nomor 5. Anda akan menggunakan angka-angka ini di bagian selanjutnya dari file ini untuk menetapkan kombinasi berbeda yang menentukan kekuatan sandi secara keseluruhan. |
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1 – Semua karakter berulang |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2 – Minimum satu huruf kecil |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3 – Setidaknya satu huruf besar |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4 – Minimal satu digit |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5 – Minimal satu karakter khusus (tidak termasuk garis bawah _) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6 - Minimal satu garis bawah |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7 – Lebih dari satu huruf kecil |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8 – Lebih dari satu huruf besar |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9 – Lebih dari satu digit |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10 – Lebih dari satu karakter khusus (tidak termasuk garis bawah) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11 – Lebih dari satu garis bawah |
Aturan berikut menentukan kekuatan sandi berdasarkan isi sandi. Setiap aturan menyertakan satu atau beberapa ekspresi reguler dari bagian sebelumnya dan menetapkan kekuatan numerik ke aturan tersebut. Kekuatan numerik sandi dibandingkan dengan angka conf_security_password.validation.minimum.rating.diperlukan di bagian atas file ini untuk menentukan apakah sandi valid atau tidak. |
|
conf_security_password.validation.rule.1=1,DAN,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
Setiap aturan diberi nomor. Misalnya, "password.validation.rule.3=..." adalah aturan nomor 3. Setiap aturan menggunakan format berikut (kanan tanda sama dengan): <regex-index-list>,<AND|OR>,<rating> regex-index-list adalah daftar ekspresi reguler (berdasarkan angka dari bagian sebelumnya), beserta operator AND|OR (artinya, pertimbangkan semua atau salah satu ekspresi yang tercantum). rating adalah rating kekuatan numerik yang diberikan untuk setiap aturan. Misalnya, aturan 5 berarti setiap sandi dengan minimal satu karakter khusus ATAU satu
garis bawah mendapatkan rating kekuatan 4. Dengan password.validation.minimum. |
conf_security_rbac.password.validation.enabled=true |
Tetapkan validasi sandi kontrol akses berbasis peran ke salah (false) saat single sign-on (SSO) diaktifkan. Defaultnya adalah true (benar). |
Mereset sandi Cassandra
Secara default, Cassandra mengirim dengan autentikasi yang dinonaktifkan. Jika Anda mengaktifkan autentikasi, metode ini akan menggunakan pengguna yang telah ditentukan sebelumnya bernama 'cassandra' dengan sandi 'cassandra'. Anda dapat menggunakan akun ini, menetapkan sandi lain untuk akun ini, atau membuat pengguna Cassandra baru. Tambahkan, hapus, dan ubah pengguna dengan menggunakan pernyataan Cassandra CREATE/ALTER/DROP USER.
Untuk mengetahui informasi tentang cara mengaktifkan autentikasi Cassandra, lihat Mengaktifkan autentikasi Cassandra.
Untuk mereset sandi Cassandra, Anda harus:
- Tetapkan sandi di satu node Cassandra dan sandi akan disiarkan ke semua node Cassandra dalam ring
- Mengupdate Server Pengelolaan, Prosesor Pesan, Router, server Qpid, server Postgres, dan BaaS Stack di setiap node dengan sandi baru
Untuk informasi selengkapnya, lihat http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.
Untuk mereset sandi Cassandra:
- Login ke salah satu node Cassandra menggunakan alat cqlsh dan kredensial default. Anda hanya perlu mengubah sandi pada satu node Cassandra dan sandi tersebut akan
disiarkan ke semua node Cassandra dalam ring:
> /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
Tempat:- cassIP adalah alamat IP node Cassandra.
- 9042 adalah port Cassandra.
- Pengguna default-nya adalah cassandra.
- Sandi default-nya adalah cassandra. Jika Anda telah mengubah sandi, gunakan sandi saat ini.
- Jalankan perintah berikut sebagai permintaan cqlsh> untuk memperbarui sandi:
cqlsh> ALTER USER cassandra WITH KATA SANDI 'NEW_PASSWORD';
Jika sandi baru berisi karakter kutip tunggal, hapus sandi dengan mengawalinya dengan satu karakter kutip. - Keluar dari alat cqlsh:
cqlsh> exit - Pada node Management Server, jalankan perintah berikut:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
Opsional, Anda dapat meneruskan file ke perintah berikut yang berisi nama pengguna baru dan sandi edge . - Ulangi langkah 4 pada:
- Semua Pemroses Pesan
- Semua Router
- Semua server Qpid (edge-qpid-server)
- Server postgres (edge-postgres-server)
- Pada node BaaS Stack untuk versi 4.16.05.04 dan yang lebih baru:
- Jalankan perintah berikut untuk membuat sandi terenkripsi:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password
Perintah ini meminta Anda memasukkan sandi teks biasa dan menampilkan sandi terenkripsi dalam bentuk:
SECURE:ae1b6dedbf6b26aaab8bee81 - Tetapkan token berikut di /opt/apigee/customer/application/usergrid.properties.
Jika file tersebut tidak ada, buat file tersebut:
usergrid-deployment_cassandra.username=cassandra
usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8 example drasan default ini menggunakan nama pengguna default
.
Jika Anda mengubah nama pengguna, tetapkan nilai usergrid-deployment_cassandra.username.
Pastikan Anda menyertakan awalan "AMAN:" pada sandi. Jika tidak, BaaS Stack akan menafsirkan nilai sebagai tidak terenkripsi.
Catatan: Setiap node BaaS Stack memiliki kunci unik yang digunakan untuk mengenkripsi sandi. Oleh karena itu, Anda harus menghasilkan nilai terenkripsi pada setiap node BaaS Stack secara terpisah. - Ubah kepemilikan file usergrid.properties menjadi
pengguna 'apigee':
> chown apigee:apigee /opt/apigee/customer/application/usergrid.properties - Konfigurasikan node Stack:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure - Mulai ulang BaaS Stack:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart - Ulangi langkah-langkah ini untuk semua anggukan BaaS Stack.
- Jalankan perintah berikut untuk membuat sandi terenkripsi:
Sandi Cassandra sekarang diubah.
Mereset sandi PostgreSQL
Secara default, database PostgreSQL memiliki dua pengguna yang ditentukan: 'postgres' dan 'apigee'. Kedua pengguna memiliki sandi default 'postgres'. Gunakan prosedur berikut untuk mengubah sandi default.
Ubah sandi di semua node master Postgres. Jika memiliki dua server Postgres yang dikonfigurasi dalam mode master/standby, Anda hanya perlu mengubah Sandi pada node master. Lihat Menyiapkan Replikasi Master-Standby untuk Postgres untuk mengetahui informasi selengkapnya.
- Pada node Master Postgres, ubah direktori menjadi /opt/apigee/apigee-postgresql/pgsql/bin.
- Tetapkan sandi pengguna 'postgres' PostgreSQL:
- Login ke database PostgreSQL menggunakan perintah:
> psql -h localhost -d apigee -U postgres - Saat diminta, masukkan sandi pengguna 'postgres' sebagai 'postgres'.
- Pada command prompt PostgreSQL, masukkan perintah berikut untuk mengubah sandi default:
apigee=> ALTER USER postgres WITH KATA SANDI 'apigee1234'; - Keluar dari database PostgreSQL menggunakan perintah:
apigee=> \q
- Login ke database PostgreSQL menggunakan perintah:
- Tetapkan sandi pengguna 'apigee' PostgreSQL:
- Login ke database PostgreSQL menggunakan perintah:
> psql -h localhost -d apigee -U apigee - Saat diminta, masukkan sandi pengguna 'apigee' sebagai 'postgres'.
- Pada command prompt PostgreSQL, masukkan perintah berikut untuk mengubah sandi default:
apigee=> ALTER USER apigee WITH KATA SANDI 'apigee1234'; - Keluar dari database PostgreSQL menggunakan perintah:
apigee=> \q
- Login ke database PostgreSQL menggunakan perintah:
- Tetapkan APIGEE_HOME:
> Export APIGEE_HOME=/opt/apigee/edge-postgres-server - Enkripsi sandi baru:
> sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
Perintah ini akan menampilkan sandi terenkripsi seperti yang ditunjukkan di bawah. Sandi terenkripsi dimulai setelah karakter ":" dan tidak menyertakan ":".
String terenkripsi :WheaR8U4OeMEM11erxA3Cw== - Update node Server Pengelolaan dengan sandi terenkripsi baru untuk pengguna 'postgres' dan 'apigee'.
- Di Management Server, ubah direktori ke /opt/apigee/customer/application.
- Edit file management-server.properties untuk menetapkan properti berikut. Jika file ini tidak ada, buat file tersebut:
Catatan: Beberapa properti mengambil sandi pengguna 'postgres' terenkripsi, dan sebagian mengambil sandi pengguna 'apigee' terenkripsi.- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- Pastikan file tersebut adalah milik pengguna 'apigee':
> chown apigee:apigee management-server.properties
- Update semua node Postgres Server dan Qpid Server dengan sandi terenkripsi baru.
- Pada node Postgres Server atau Qpid Server, ubah direktori menjadi /opt/apigee/customer/application.
- Edit file berikut. Jika file ini tidak ada, buat file tersebut:
- postgres-server.properties
- qpid-server.properties
- Tambahkan properti berikut ke file:
Catatan: Semua properti ini mengambil sandi pengguna 'postgres' terenkripsi.- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- Pastikan file tersebut adalah milik pengguna 'apigee':
> chown apigee:apigee postgres-server.properties
> chown apigee:apigee qpid-server.properties
- Mulai ulang komponen berikut dalam urutan ini:
- Database PostgreSQL:
> /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql mulai ulang - Server Qpid:
> /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart - Server Postgres:
> /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart - Server Pengelolaan:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Database PostgreSQL: