Private Cloud v. 4.17.05 專用 Edge
您可以重設 OpenLDAP、Apigee Edge 系統管理員、Edge 機構使用者和 安裝完成後的 Cassandra 密碼。
重設 OpenLDAP 密碼
視 Edge 設定而定,您可以透過以下方式安裝 OpenLDAP:
- 在管理伺服器節點上安裝的單一 OpenLDAP 執行個體。例如,在 2 個節點、5 個節點或 9 節點 Edge 設定。
- 在管理伺服器節點中安裝多個 OpenLDAP 執行個體 (使用 OpenLDAP 設定) 複製功能例如使用 12 個節點的 Edge 設定。
- 在各自的節點中安裝多個 OpenLDAP 執行個體,並使用 OpenLDAP 設定 複製功能例如設定 13 個節點的 Edge 設定。
重設 OpenLDAP 密碼的方式取決於您的設定。
針對安裝在管理伺服器上的單一 OpenLDAP 執行個體,執行 包括:
- 在管理伺服器節點中執行下列指令,建立新的 OpenLDAP
密碼:
> /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword - 執行下列指令來儲存新密碼,方便管理
伺服器:
> /opt/apigee/apigee-service/bin/apigee-service Edge-management-server store_ldap_credentials -p newPword
這個指令會重新啟動管理伺服器。
在「OpenLDAP 複製設定」(已在管理伺服器上安裝 OpenLDAP) 中 節點中,請在兩個 Management Server 節點上,按照上述步驟操作,以更新 密碼。
OpenLDAP 複製設定 (OpenLDAP 位於管理以外的節點上) 伺服器,請務必先變更這兩個 OpenLDAP 節點上的密碼,再變更這兩個 OpenLDAP 節點的密碼 Management Server 節點,
重設系統管理員密碼
重設系統管理員密碼時,您必須在下列兩個地方重設密碼:
- 管理伺服器
- UI
警告:重設系統管理員前,請先停止 Edge UI 密碼。由於您先在管理伺服器上重設密碼,因此您可以 使用者介面仍持續使用舊密碼。如果 UI 發出超過三次呼叫 使用舊密碼,OpenLDAP 伺服器會鎖定系統管理員帳戶,使其鎖定 分鐘。
如何重設系統管理員密碼:
- 在 UI 節點上停止 Edge UI:
> /opt/apigee/apigee-service/bin/apigee-service Edge-ui stop - 在管理伺服器上執行下列指令,重設密碼:
> /opt/apigee/apigee-service/bin/apigee-service Edge-management-server change_sysadmin_password -o currentPW -n newPW - 編輯用來安裝 Edge UI 的無訊息設定檔,進行下列設定
資源:
APIGEE_ADMINPW=newPW
SMTPHOST=smtp.gmail.com
SMTPPORT=465
SMTPUSER=foo@gmail.com
SMTPPASSWORD=bar
SMTPSSL=y
SMTP MailFROM="我的公司 <myco@company.com>"
請注意,傳送新密碼時,必須包括 SMTP 屬性,因為所有 使用者介面的所有屬性都會經過重設 - 使用 apigee-setup
公用程式,透過設定檔重設 Edge UI 上的密碼:
> /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile - (僅在使用者介面已啟用 TLS 的情況下) 在 Edge UI 上重新啟用 TLS,如下所示: 參閱設定用於管理網域的 TLS 使用者介面。
在有多個管理伺服器的 OpenLDAP 複製環境中, 在某個 Management Server 重設密碼會更新其他管理伺服器 。不過,您必須個別更新所有 Edge UI 節點。
重設機構使用者密碼
若要重設機構使用者的密碼,請使用 apigee-servce 公用程式叫用 apigee-setup:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
例如:
> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword
以下是可與「-f」搭配使用的設定檔範例選項:
USER_NAME= user@myCo.com USER_PWD= "foo12345" APIGEE_ADMINPW= adminPword
您也可以使用 Update user API 變更使用者密碼
Sys 管理員和機構使用者密碼 規則
在這個部分強制要求 API 密碼長度和強度 管理使用者的資料這些設定會使用一系列預先設定 (且不重複的編號) 檢查密碼內容的運算式 (例如大寫、小寫、數字和特殊符號) 字元)。將這些設定寫入 /opt/apigee/customer/application/management-server.properties。 檔案。如果該檔案不存在,請建立該檔案。
編輯 management-server.properties 後,請重新啟動 管理伺服器:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
隨後您可將不同的一般組合分組,以設定密碼強度等級 運算式。舉例來說,你可以判斷一組密碼中是否至少包含一個大寫和一個字母 小寫英文字母的強度評分為「3」,但密碼至少含有一個小寫英文字母 一個數字和一個數字,則會獲得較強「4」評分。
資源 |
說明 |
---|---|
conf_security_password.validation.minimum. conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum. |
有助於判斷有效密碼的整體特徵。預設 密碼強度的最低評分為 3 (詳見下表)。 請注意,password.validation.default.rating=2 低於最低評分 這表示如果輸入的密碼不符合您所設定的規則 設定後,密碼的分級為 2,因此無效 (低於最低評分)。 第 3 步)。 |
以下是用於識別密碼特性的規則運算式。注意事項 這些內容都會有編號例如「password.validation.regex.5=...」為 運算式編號 5您將在檔案中的後續部分使用這些數字 會決定整體密碼強度的不同組合。 |
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1 - 所有字元重複 |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2 – 至少 1 個小寫字母 |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3 – 至少 1 個大寫字母 |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4 – 至少 1 個數字 |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5 – 至少一個特殊字元 (不含底線 _) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6 - 至少一個底線 |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7 - 超過一個小寫字母 |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8:超過一個大寫字母 |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9 - 多位數 |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10 - 多個特殊字元 (不含底線) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11 - 超過一個底線 |
以下規則會根據密碼內容判斷密碼強度。 每項規則都會包含上一節的一或多個規則運算式,並指派 代表它的意義和強度系統會將密碼的數值強度與 這個檔案頂端的 conf_security_password.validation.minimum.rating.required 數字 判斷密碼是否有效。 |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
每項規則都有編號。例如: "password.validation.rule.3=..."規則編號 3 每項規則都會使用下列格式 (等號右側): <regex-index-list>,<AND|OR>,<rating> regex-index-list 是規則運算式清單 (從 前一節) 和 AND|OR 運算子 (也就是說, 全部或任何列出的運算式)。 rating 是指每項規則的強度評分。 舉例來說,規則 5 代表密碼中必須包含至少 1 個特殊字元或 1 組
底線中的強度評分為 4使用 password.validation.minimum 。 |
conf_security_rbac.password.validation.enabled=true |
在單一登入 (SSO) 時,將角色式存取權控管密碼驗證設為 false 預設值為 true。 |
重設 Cassandra 密碼
根據預設,Cassandra 出貨時停用驗證功能。啟用驗證功能後, 使用名為「cassandra」的預先定義使用者密碼為「cassandra」。你可以使用這個帳戶 請為這個帳戶設定其他密碼,或建立新的 Cassandra 使用者。新增、移除和 使用 Cassandra CREATE/ALTER/DROP USER 陳述式修改使用者。
如要瞭解如何啟用 Cassandra 驗證,請參閱啟用 Cassandra 驗證。
如要重設 Cassandra 密碼,您必須:
- 請在任一 Cassandra 節點上設定密碼,該節點將會廣播至所有 Cassandra 環形區域的節點
- 更新管理伺服器、訊息處理器、路由器、Qpid 伺服器、Postgres 伺服器 和 BaaS Stack 登入各個節點使用新的密碼
詳情請參閱 http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html。
如要重設 Cassandra 密碼:
- 使用 cqlsh 工具和預設登入單一 Cassandra 節點
憑證您只需變更一個 Cassandra 節點上的密碼
向環圈中的所有 Cassandra 節點發送廣播訊息:
> /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p Cassandra
地點:- cassIP 是 IP 建立 Cassandra 節點位址
- 9042 是 Cassandra 通訊埠。
- 預設使用者是 cassandra。
- 預設密碼為 cassandra。如果變更密碼 先前的密碼。
- 在 cqlsh> 提示中執行下列指令,以更新
密碼:
cqlsh>其他使用者電子郵件地址 PASSWORD 'NEW_PASSWORD';
如果新密碼包含單一引號,請在前面加上一個引號逸出 引號字元。 - 結束 cqlsh 工具:
cqlsh>結束 - 在 Management Server 節點中執行下列指令:
> /opt/apigee/apigee-service/bin/apigee-service Edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
您也可以選擇將檔案傳送至包含新使用者名稱和密碼的指令:
>apigee-service Edge-management-server store_cassandra_credentials -f configFile
其中的 configFile 包含 追蹤:
CASS_USERNAME=CASS_USERNAME
CASS_PASSWORD=CASS_PASSWROD
這個指令會自動重新啟動管理伺服器。 - 重複執行步驟 4:
- 所有訊息處理器
- 所有路由器
- 所有 Qpid 伺服器 (edge-qpid-server)
- Postgres 伺服器 (edge-postgres-server)
- 在 4.16.05.04 以上版本的 BaaS 堆疊節點上:
- 執行下列指令來產生加密密碼:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password
這個指令會提示您輸入純文字密碼,並將 相關表單如下:
SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050 - 在 /opt/apigee/customer/application/usergrid.properties 中設定下列權杖。
如果該檔案不存在,請建立一個:
usergrid-deployment_cassandra.username=cassandra
usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
這個範例使用 Cassandra 的預設使用者名稱。如您變更了使用者名稱,請將 usergrid-deployment_cassandra.username。
確認已加上「SECURE:」前置字元。 否則 BaaS Stack 會將值解讀為未加密。
注意:每個 BaaS Stack 節點都有專屬的金鑰,用來加密 密碼。因此,您必須在每個 BaaS 堆疊節點上產生加密值 - 將 usergrid.properties 檔案的擁有權變更為
「Apigee」使用者:
>皇冠 Apigee:apigee /opt/apigee/customer/application/usergrid.properties - 設定堆疊節點:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid 設定 - 重新啟動 BaaS 堆疊:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid 重新啟動 - 針對所有 BaaS 堆疊點重複上述步驟。
- 執行下列指令來產生加密密碼:
Cassandra 密碼現已變更。
重設 PostgreSQL 密碼
根據預設,PostgreSQL 資料庫定義了兩位使用者:「postgres」和「apigee」。 兩位使用者的預設密碼為「postgres」。請按照以下程序變更 預設密碼。
變更所有 Postgres 主要節點的密碼。如果您設定了兩個 Postgres 伺服器 ,只要變更主節點上的密碼即可。詳情請見 設定以下執行個體的主待命複製功能: Postgres:
- 在主 Postgres 節點上,將目錄變更為 /opt/apigee/apigee-postgresql/pgsql/bin。
- 設定 PostgreSQL 的「postgres」使用者密碼:
- 使用下列指令登入 PostgreSQL 資料庫:
>psql -h localhost -d apigee -U Postgres - 在系統提示時,輸入「postgres」使用「postgres」做為使用者密碼
- 在 PostgreSQL 命令提示字元中輸入下列指令,變更預設提示
密碼:
apigee=>替代使用者貼文 使用 PASSWORD 「apigee1234」; - 使用下列指令結束 PostgreSQL 資料庫:
apigee=>\q
- 使用下列指令登入 PostgreSQL 資料庫:
- 設定 PostgreSQL「apigee」使用者密碼:
- 使用下列指令登入 PostgreSQL 資料庫:
>psql -h localhost -d apigee -U Apigee - 系統提示時,請輸入「apigee」使用「postgres」做為使用者密碼
- 在 PostgreSQL 命令提示字元中輸入下列指令,變更預設提示
密碼:
apigee=>ALTER USER Apigee PASSWORD 'apigee1234'; - 使用下列指令結束 PostgreSQL 資料庫:
apigee=>\q
- 使用下列指令登入 PostgreSQL 資料庫:
- 設定 APIGEE_HOME:
>匯出 APIGEE_HOME=/opt/apigee/edge-postgres-server - 將新密碼加密:
>淺睡 /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
這個指令會傳回加密密碼,如下所示。加密密碼的開始日期晚於 「:」字元,且不包含「:」。
加密字串 :WheaR8U4OeMEM11erxA3Cw== - 以新的加密密碼
「postgres」和「apigee」使用者。
- 在管理伺服器上,將目錄變更為 /opt/apigee/customer/application。
- 將 management-server.properties 檔案編輯為
設定下列屬性如果這個檔案不存在,請建立檔案:
注意:部分屬性會採用加密的「postgres」格式 使用者密碼,部分則使用加密的「apigee」使用者 密碼。- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- 請確定檔案的擁有者為「apigee」使用者:
>Chown apigee:apigee management-server.properties
- 使用新的加密密碼更新所有 Postgres Server 和 Qpid Server 節點。
- 在 Postgres 伺服器或 Qpid Server 節點上,將目錄變更為 /opt/apigee/customer/application。
- 編輯下列檔案。如果這些檔案不存在,請建立這些檔案:
- postgres-server.properties
- qpid-server.properties
- 在檔案中加入下列屬性:
注意:以上所有屬性都會採用 加密的「postgres」使用者密碼。- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- 請確定檔案的擁有者為「apigee」使用者:
>Chown apigee:apigee postgres-server.properties
>chown apigee:apigee qpid-server.properties
- 請依序重新啟動下列元件:
- PostgreSQL 資料庫:
> /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart - Qpid 伺服器:
> /opt/apigee/apigee-service/bin/apigee-service Edge-qpid-server restart - Postgres 伺服器:
> /opt/apigee/apigee-service/bin/apigee-service Edge-postgres-server restart - 管理伺服器:
> /opt/apigee/apigee-service/bin/apigee-service Edge-management-server restart
- PostgreSQL 資料庫: