Reimpostazione delle password perimetrali

Edge per Private Cloud v. 4.17.09

Puoi reimpostare le password di OpenLDAP, dell'amministratore di sistema di Apigee Edge, dell'utente dell'organizzazione Edge e di Cassandra al termine dell'installazione.

Reimpostare la password di OpenLDAP

A seconda della configurazione di Edge, OpenLDAP può essere installato come:

  • Una singola istanza di OpenLDAP installata sul nodo del server di gestione. Ad esempio, in una configurazione perimetrale a 2, 5 o 9 nodi.
  • Più istanze OpenLDAP installate sui nodi del server di gestione, configurate con la replica OpenLDAP. Ad esempio, in una configurazione Edge con 12 nodi.
  • Più istanze OpenLDAP installate sui propri nodi, configurate con la replica OpenLDAP. Ad esempio, in una configurazione Edge con 13 nodi.

Il modo in cui reimposti la password OpenLDAP dipende dalla tua configurazione.

Per una singola istanza di OpenLDAP installata sul server di gestione, svolgi quanto segue:

  1. Sul nodo del server di gestione, esegui il seguente comando per creare la nuova password OpenLDAP:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. Esegui il seguente comando per memorizzare la nuova password per l'accesso da parte del server di gestione:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword

    Questo comando riavvia il server di gestione.

In una configurazione di replica OpenLDAP con OpenLDAP installato sui nodi del server di gestione, segui i passaggi precedenti su entrambi i nodi del server di gestione per aggiornare la password.

In una configurazione di replica di OpenLDAP con OpenLDAP su un nodo diverso da Management Server, assicurati di modificare prima la password su entrambi i nodi OpenLDAP e poi su entrambi i nodi Management Server.

Reimpostare la password di amministratore di sistema

La reimpostazione della password dell'amministratore di sistema richiede il ripristino della password in due modi:

  • Server di gestione
  • UI

Attenzione: devi interrompere l'interfaccia utente di Edge prima di reimpostare la password dell'amministratore del sistema. Poiché reimposti la password prima sul server di gestione, può esserci un breve periodo di tempo in cui l'interfaccia utente utilizza ancora la vecchia password. Se l'interfaccia utente effettua più di tre chiamate utilizzando la vecchia password, il server OpenLDAP blocca l'account amministratore di sistema per tre minuti.

Per reimpostare la password di amministratore di sistema:

  1. Sul nodo UI, arresta la UI Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Sul server di gestione, esegui questo comando per reimpostare la password:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. Modifica il file di configurazione silenzioso utilizzato per installare l'interfaccia utente di Edge per impostare le seguenti proprietà:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="La mia azienda <myco@company.com>"

    Tieni presente che devi includere le proprietà SMTP quando passi la nuova password perché tutte le proprietà dell'interfaccia utente vengono reimpostate.
  4. Utilizza l'utilità apigee-setup per reimpostare la password nell'interfaccia utente di Edge dal file di configurazione:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Solo se TLS è attivato nell'interfaccia utente) Riattiva TLS nell'interfaccia utente di Edge come descritto in Configurazione di TLS per l'interfaccia utente di gestione.

In un ambiente di replica OpenLDAP con più server di gestione, la reimpostazione della password su un server di gestione aggiorna automaticamente l'altro server di gestione. Tuttavia, devi aggiornare tutti i nodi dell'interfaccia utente di Edge separatamente.

Reimpostare la password utente dell'organizzazione

Per reimpostare la password per un utente dell'organizzazione, utilizza l'utilità apigee-servce per richiamare apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Ad esempio:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

Di seguito è riportato un esempio di file di configurazione che puoi utilizzare con l'opzione "-f":

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

Puoi anche utilizzare l'API Update user per cambiare la password dell'utente.

Regole per le password degli amministratori di sistema e degli utenti dell'organizzazione

Utilizza questa sezione per applicare un livello desiderato di lunghezza e sicurezza delle password per gli utenti di gestione dell'API. Le impostazioni utilizzano una serie di espressioni regolari preconfigurate (e numerate in modo univoco) per controllare i contenuti delle password (ad esempio lettere maiuscole, minuscole, numeri e caratteri speciali). Scrivi queste impostazioni nel file /opt/apigee/customer/application/management-server.properties. Se il file non esiste, creane uno.

Dopo aver modificato management-server.properties, riavvia il server di gestione:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Puoi quindi impostare le valutazioni dell'efficacia delle password raggruppando diverse combinazioni di espressioni regolari. Ad esempio, puoi stabilire che una password con almeno una lettera maiuscola e una lettera minuscola ottengono un grado di sicurezza pari a "3", ma che una password con almeno una lettera minuscola e un numero ottiene una valutazione efficace, pari a "4".

Proprietà

Descrizione

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

Utilizzali per determinare le caratteristiche generali delle password valide. La valutazione minima predefinita per la robustezza della password (descritta più avanti nella tabella) è 3.

Tieni presente che password.validation.default.rating=2 è inferiore alla valutazione minima obbligatoria, il che significa che se una password inserita non rientra nelle regole configurate, viene valutata come 2 e quindi non è valida (al di sotto della valutazione minima di 3).

Di seguito sono riportate le espressioni regolari che identificano le caratteristiche delle password. Tieni presente che ogni elenco è numerato. Ad esempio, "password.validation.regex.5=…" è l'espressione numero 5. Utilizzerai questi numeri in una sezione successiva del file per impostare combinazioni diverse che determinano la sicurezza complessiva della password.

conf_security_password.validation.regex.1=^(.)\\1+$

1 – Tutti i caratteri si ripetono

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – Almeno una lettera minuscola

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – Almeno una lettera maiuscola

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – Almeno una cifra

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 - Almeno un carattere speciale (escluso il trattino basso _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – Almeno un underscore

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 – Più di una lettera minuscola

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – Più di una lettera maiuscola

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 - Più di una cifra

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – Più di un carattere speciale (tranne il trattino basso)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – Più di un trattino basso

Le seguenti regole determinano la sicurezza della password in base ai contenuti della password. Ogni regola include una o più espressioni regolari della sezione precedente e le assegna una forza numerica. La sicurezza numerica di una password viene confrontata con il numero conf_security_password.validation.minimum.rating.required nella parte superiore di questo file per determinare se una password è valida o meno.

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

Ogni regola è numerata. Ad esempio, "password.validation.rule.3=…" è la regola numero 3.

Ogni regola utilizza il seguente formato (a destra del segno di uguale):

<regex-index-list>,<AND|OR>,<rating>

regex-index-list è l'elenco delle espressioni regolari (in base al numero della sezione precedente), insieme a un operatore AND|OR (ovvero, considera tutte o una delle espressioni elencate).

rating è la valutazione numerica dell'efficacia assegnata a ogni regola.

Ad esempio, la regola 5 indica che qualsiasi password contenente almeno un carattere speciale OPPURE un carattere sottolineato viene valutata come sicura con un punteggio di 4. Con password.validation.minimum.
rating.required=3 all'inizio del file, una password con valutazione pari a 4 è valida.

conf_security_rbac.password.validation.enabled=true

Imposta la convalida della password del controllo dell'accesso basato sui ruoli su false quando il Single Sign-On (SSO) è attivo. Il valore predefinito è true.

Reimpostazione della password di Cassandra

Per impostazione predefinita, l'autenticazione in Cassandra è disattivata. Se attivi l'autenticazione, viene utilizzato un utente predefinito denominato 'cassandra' con una password 'cassandra'. Puoi utilizzare questo account, impostare una password diversa per questo account o creare un nuovo utente Cassandra. Aggiungi, rimuovi e modifica gli utenti utilizzando gli statement CREATE/ALTER/DROP USER di Cassandra.

Per informazioni su come attivare l'autenticazione Cassandra, consulta Attivare l'autenticazione Cassandra.

Per reimpostare la password Cassandra, devi:

  • Imposta la password su un nodo Cassandra e verrà trasmessa a tutti i nodi Cassandra dell'anello
  • Aggiorna il server di gestione, i processori dei messaggi, i router, i server Qpid, i server Postgres e lo stack BaaS su ogni nodo con la nuova password

Per ulteriori informazioni, visita la pagina http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Per reimpostare la password di Cassandra:

  1. Accedi a un nodo Cassandra utilizzando lo strumento cqlsh e le credenziali predefinite. Basta cambiare la password su un nodo Cassandra e sarà trasmessa a tutti i nodi Cassandra nell'anello:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Dove:
    • cassIP è l'indirizzo IP del nodo Cassandra.
    • 9042 è la porta Cassandra.
    • L'utente predefinito è cassandra.
    • La password predefinita è cassandra. Se hai cambiato la password in precedenza, usa la password attuale.
  2. Esegui il seguente comando come richiesta cqlsh> per aggiornare la password:
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Se la nuova password contiene un solo carattere di virgolette, metti il carattere di escape precedente preceduto da un solo carattere di virgolette.
  3. Esci dallo strumento cqlsh:
    cqlsh> exit
  4. Sul nodo del server di gestione, esegui il seguente comando:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Se vuoi, puoi passare un file al comando contenente il nuovo nome utente e la nuova password:
    > apigee-service edge-management-server store_cassandra_credentials -f configFile

    dove configFile contiene quanto segue:
    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD

    Questo comando riavvia automaticamente il server di gestione.
  5. Ripeti il passaggio 4 su:
    • Tutti i processori di messaggi
    • Tutti i router
    • Tutti i server Qpid (edge-qpid-server)
    • Server Postgres (edge-postgres-server)
  6. Sul nodo dello stack BaaS per la versione 4.16.05.04 e successive:
    1. Esegui il seguente comando per generare una password criptata:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Questo comando ti chiede la password in testo normale e restituisce la password criptata nel formato:
      SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. Imposta i seguenti token in /opt/apigee/customer/application/usergrid.properties. Se il file non esiste, creane uno:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050

      Questo esempio utilizza il nome utente predefinito per Cassandra. Se hai modificato il nome utente, imposta il valore di usergrid-deployment_cassandra.username di conseguenza.

      Assicurati di includere il prefisso "SECURE:" nella password. In caso contrario, lo stack BaaS interpreta il valore come non criptato.

      Nota: ogni nodo dello stack BaaS ha una propria chiave univoca utilizzata per criptare la password. Pertanto, devi generare il valore criptato su ogni nodo BaaS Stack separatamente.
    3. Modifica la proprietà del file usergrid.properties assegnandola all'utente 'apigee':
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Configura il nodo dello stack:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. Riavvia lo stack BaaS:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. Ripeti questi passaggi per tutti i nodi dello stack BaaS.

La password di Cassandra è stata modificata.

Reimpostazione della password PostgreSQL

Per impostazione predefinita, il database PostgreSQL ha due utenti definiti: "postgres" e "apigee". Entrambi gli utenti hanno una password predefinita di "postgres". Per modificare la password predefinita, segui la procedura riportata di seguito.

Modifica la password su tutti i nodi master Postgres. Se hai due server Postgres configurati in modalità master/standby, devi solo modificare la password sul nodo master. Per saperne di più, consulta Configurare la replica master-standby per Postgres.

  1. Sul nodo Master Postgres, cambia directory in /opt/apigee/apigee-postgresql/pgsql/bin.
  2. Imposta la password dell'utente PostgreSQL "postgres":
    1. Accedi al database PostgreSQL utilizzando il comando:
      > psql -h localhost -d apigee -U postgres
    2. Quando richiesto, inserisci la password dell'utente "postgres" come "postgres".
    3. Al prompt dei comandi PostgreSQL, inserisci il seguente comando per modificare la password predefinita:
      apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234';
    4. Esci dal database PostgreSQL utilizzando il comando:
      apigee=> \q
  3. Imposta la password utente PostgreSQL 'apigee':
    1. Accedi al database PostgreSQL utilizzando il comando:
      > psql -h localhost -d apigee -U apigee
    2. Quando richiesto, inserisci la password dell'utente "apigee" come "postgres".
    3. Al prompt dei comandi PostgreSQL, inserisci il seguente comando per modificare la password predefinita:
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
    4. Esci dal database PostgreSQL utilizzando il comando:
      apigee=> \q
  4. Imposta APIGEE_HOME:
    > export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Cripta la nuova password:
    > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Questo comando restituisce la password criptata come mostrato di seguito. La password criptata inizia dopo il carattere ":" e non include il carattere ":".
    Stringa criptata :WheaR8U4OeMEM11erxA3Cw==
  6. Aggiorna il nodo del server di gestione con le nuove password criptate per gli utenti 'postgres' e 'apigee'.
    1. Sul server di gestione, cambia directory in /opt/apigee/customer/application.
    2. Modifica il file management-server.properties per impostare le seguenti proprietà. Se questo file non esiste, crealo:
      Nota: alcune proprietà utilizzano la password utente "postgres" criptata e altre la password dell'utente "apigee" criptata.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Assicurati che il file sia di proprietà dell'utente "apigee":
      > chown apigee:apigee management-server.properties
  7. Aggiorna tutti i nodi Postgres Server e Qpid Server con la nuova password criptata.
    1. Sul nodo del server Postgres o Qpid, cambia directory in /opt/apigee/customer/application.
    2. Modifica i seguenti file. Se questi file non esistono, creali:
      • postgres-server.properties
      • qpid-server.properties
    3. Aggiungi le seguenti proprietà ai file:
      Nota: tutte queste proprietà utilizzano la password utente "postgres" criptata.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Assicurati che i file siano di proprietà dell'utente "apigee":
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. Riavvia i seguenti componenti in questo ordine:
    1. Database PostgreSQL:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql reboot
    2. Server Qpid:
      > /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Server Postgres:
      > /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Server di gestione:
      > /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart