Bật xác thực Cassandra

Edge for Private Cloud phiên bản 4.17.09

Theo mặc định, Cassandra cài đặt mà không bật tính năng xác thực. Tức là ai cũng có thể truy cập Cassandra. Bạn có thể bật tính năng xác thực sau khi cài đặt Edge hoặc trong quá trình cài đặt của chúng tôi.

Nếu bạn quyết định bật tính năng xác thực trên Cassandra, phương thức này sẽ sử dụng cơ chế xác thực sau thông tin xác thực:

  • tên người dùng = 'cassandra'
  • mật khẩu = 'cassandra'

Bạn có thể sử dụng tài khoản này, đặt mật khẩu khác cho tài khoản này hoặc tạo Cassandra mới người dùng. Thêm, xoá và sửa đổi người dùng bằng cách sử dụng Cassandra CREATE/ALTER/DROP USER tuyên bố.

Để biết thêm thông tin, hãy xem các lệnh shell SQL của Casandra.

Bật tính năng xác thực Cassandra trong cài đặt

Bạn có thể bật tính năng xác thực Cassandra dưới dạng thời gian cài đặt. Tuy nhiên, mặc dù bạn có thể bật xác thực khi cài đặt Cassandra, bạn không thể thay đổi tên người dùng và mật khẩu mặc định. Bạn phải thực hiện bước đó theo cách thủ công sau khi cài đặt Cassandra hoàn tất.

Lưu ý: Hãy sử dụng quy trình này khi cài đặt Cassandra bằng cách sử dụng "-p c", "-p ds", "-p sa", "-p aio", "-p asa" và "-p ebp" .

Để bật tính năng xác thực Cassandra tại thời điểm cài đặt, hãy thêm thuộc tính CASS_AUTH vào tệp cấu hình cho tất cả các nút Cassandra:

CASS_AUTH=y # The default value is n.

Các thành phần Edge sau đây truy cập vào Cassandra:

  • Máy chủ quản lý
  • Bộ xử lý tin nhắn
  • Bộ định tuyến
  • Máy chủ Qpid
  • Máy chủ Postgres
  • Ngăn xếp BaaS

Do đó, khi cài đặt các thành phần này, bạn phải đặt các thuộc tính sau trong để chỉ định thông tin xác thực Cassandra:

CASS_USERNAME=cassandra 
CASS_PASSWORD=cassandra

Bạn có thể thay đổi thông tin đăng nhập Cassandra sau khi cài đặt Cassandra. Tuy nhiên, nếu bạn có đã cài đặt Máy chủ quản lý, Bộ xử lý thư, Bộ định tuyến, máy chủ Qpid, Postgres hoặc Ngăn xếp BaaS, bạn cũng phải cập nhật những thành phần đó để sử dụng thông tin xác thực.

Cách thay đổi thông tin đăng nhập Cassandra sau khi cài đặt Cassandra:

  1. Đăng nhập vào một nút Cassandra bất kỳ bằng công cụ cqlsh và thông tin đăng nhập mặc định. Bạn chỉ phải thay đổi mật khẩu trên một nút và mật khẩu đó sẽ được truyền đến tất cả các nút Cassandra trong chuông:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 –u cassandra -p cassandra
    Địa điểm:
    1. cassIP là địa chỉ IP của nút Cassandra.
    2. 9042 là cổng Cassandra mặc định.
    3. Người dùng mặc định là cassandra.
    4. Mật khẩu mặc định là cassandra. Nếu bạn đã đổi mật khẩu trước đây, hãy sử dụng mật khẩu hiện tại.
  2. Chạy lệnh sau dưới dạng lời nhắc cqlsh> để cập nhật mật khẩu:
    cqlsh> LUÔN NGƯỜI DÙNG cassandra VỚI MẬT KHẨU "NEW_PASSWORD";
  3. Thoát khỏi công cụ QLSLh:
    cqlsh> thoát
  4. Nếu bạn chưa cài đặt Máy chủ quản lý, Bộ xử lý thư, Bộ định tuyến, máy chủ Qpid, máy chủ Postgres hoặc Ngăn xếp BaaS, hãy đặt các thuộc tính sau trong config rồi cài đặt các thành phần đó:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=NEW_PASSWORD
  5. Nếu bạn đã cài đặt Máy chủ quản lý, Bộ xử lý, Bộ định tuyến, máy chủ Qpid, máy chủ Postgres hoặc Ngăn xếp BaaS, hãy xem phần Đặt lại mật khẩu Edge để biết quy trình cập nhật những mật khẩu đó để sử dụng mật khẩu mới.

Bật bài đăng xác thực Cassandra cài đặt

Cách bật tính năng xác thực:

  • Cập nhật tất cả các thành phần của Edge kết nối với Cassandra bằng tên người dùng Cassandra và mật khẩu.
  • Trên tất cả các nút Cassandra, hãy bật tính năng xác thực.
  • Đặt tên người dùng và mật khẩu Cassandra trên một nút bất kỳ. Bạn chỉ phải thay đổi thông tin xác thực trên một nút Cassandra và các thông tin này sẽ được phát đến tất cả các nút Cassandra trong chuông.

Sử dụng quy trình sau để cập nhật tất cả các thành phần Edge giao tiếp với Cassandra bằng thông tin đăng nhập mới. Lưu ý rằng bạn thực hiện bước này trước khi thực sự cập nhật Cassandra thông tin xác thực:

  1. Trên nút Máy chủ quản lý, hãy chạy lệnh sau:
    > /opt/apigee/apigee-service/bin/apigee-service cạnh-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_ MẬT

    Nếu muốn, bạn có thể chuyển tệp vào lệnh chứa tên người dùng và mật khẩu mới:
    > apigee-service cạnh-management-server store_cassandra_credentials -f configFile

    Trong đó, configFile chứa nội dung sau:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=CASS_PASSWROD

    Lệnh này tự động khởi động lại Máy chủ quản lý.
  2. Lặp lại bước 1 trên:
    • Tất cả bộ xử lý tin nhắn
    • Tất cả bộ định tuyến
    • Tất cả máy chủ Qpid (edge-qpid-server)
    • Máy chủ Postgres (Edge-postgres-server)
  3. Trên nút Ngăn xếp BaaS cho phiên bản 4.16.05.04 trở lên:
    1. Chạy lệnh sau để tạo một mật khẩu đã mã hoá:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Lệnh này nhắc bạn nhập mật khẩu văn bản thuần tuý và trả về mật khẩu đã mã hoá trong biểu mẫu:
      AN TOÀN:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. Đặt các mã thông báo sau trong /opt/apigee/customer/application/usergrid.properties. Nếu tệp đó không tồn tại, hãy tạo tệp:
      usergrid-baseline_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050

      Ví dụ này sử dụng tên người dùng mặc định cho Cassandra. Nếu bạn đã thay đổi tên người dùng, hãy đặt giá trị của usergrid-Deployment_cassandra.username theo cách phù hợp.

      Hãy đảm bảo bạn đã đưa thông tin "bảo mật:" vào mật khẩu. Nếu không, Ngăn xếp BaaS sẽ diễn giải giá trị là chưa được mã hoá.

      Lưu ý: Mỗi nút Ngăn xếp BaaS có một khoá riêng dùng để mã hoá mật khẩu. Do đó, bạn phải tạo giá trị đã mã hoá trên mỗi nút Ngăn xếp BaaS riêng lẻ.
    3. Thay đổi quyền sở hữu của tệp usergrid.properties thành phần tử "apigee" người dùng:
      > đồng thanh apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Định cấu hình nút Ngăn xếp:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid định cấu hình
    5. Khởi động lại ngăn xếp BaaS:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid khởi động lại
    6. Lặp lại các bước này cho tất cả các cái gật đầu của Ngăn xếp BaaS.

Sử dụng quy trình sau để bật tính năng xác thực Cassandra, đồng thời thiết lập tên người dùng và mật khẩu:

  1. Đăng nhập vào nút Cassandra đầu tiên.
  2. Chạy lệnh sau: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra
  enable_cassandra_authentication -e y

    Lệnh này sẽ bật xác thực và khởi động lại Cassandra.

  3. Lặp lại bước 1 và 2 trên tất cả các nút Cassandra.
  4. Đăng nhập vào một nút Cassandra bất kỳ bằng công cụ cqlsh và tuỳ chọn mặc định thông tin xác thực. Bạn chỉ phải thay đổi mật khẩu trên một nút Cassandra và mật khẩu đó sẽ truyền tin đến tất cả các nút Cassandra trong vòng: 
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Trong đó

    • cassIP là địa chỉ IP của nút Cassandra.
    • 9042 là cổng Cassandra.
    • Người dùng mặc định là cassandra.
    • Mật khẩu mặc định là cassandra. Nếu bạn đã đổi mật khẩu trước đây, hãy sử dụng mật khẩu hiện tại.
  5. Chạy lệnh sau tại lời nhắc cqlsh> để cập nhật mật khẩu: 
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  6. Chạy lệnh sau tại lời nhắc cqlsh> để đảm bảo rằng không gian phím luôn khả dụng. Đối với một trung tâm dữ liệu: 
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3'};
    Đối với hai trung tâm dữ liệu: 
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3', 'dc-2': '3'};
  7. Thoát khỏi công cụ cqlsh: 
    exit
  8. Chạy nodetool repair để đảm bảo thay đổi được phổ biến đến tất cả các nút Cassandra: 
    /opt/apigee/apigee-cassandra/bin/nodetool repair system_auth