Edge for Private Cloud v. 4.17.09
OpenLDAP、Apigee Edge システム管理者、Edge 組織ユーザー、 インストール完了後の Cassandra パスワード。
OpenLDAP のパスワードを再設定する
Edge の構成に応じて、OpenLDAP は次のようにインストールできます。
- Management Server ノードにインストールされた OpenLDAP の単一インスタンス。たとえば、 2 ノード、5 ノード、または 9 ノードの Edge 構成。
- Management Server ノードに複数の OpenLDAP インスタンスがインストールされ、OpenLDAP が構成されている 必要があります。たとえば、12 ノードの Edge 構成の場合。
- 独自のノードに複数の OpenLDAP インスタンスをインストールし、OpenLDAP で構成 必要があります。たとえば、13 ノードの Edge 構成の場合。
OpenLDAP パスワードのリセット方法は、構成によって異なります。
Management Server に OpenLDAP のインスタンスを 1 つインストールした場合は、次のコマンドを実行します。 次のとおりです。
- Management Server ノードで、次のコマンドを実行して新しい OpenLDAP を作成します。
パスワード:
> /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword - 次のコマンドを実行して、管理チームがアクセスできるように新しいパスワードを保存します。
サーバー:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword
このコマンドを実行すると、Management Server が再起動されます。
Management Server に OpenLDAP をインストールし、OpenLDAP レプリケーションを設定している 両方の Management Server ノードで、上記の手順に従い、 あります。
OpenLDAP が Management 以外のノードにある OpenLDAP レプリケーション設定 です。まず両方の OpenLDAP ノードでパスワードを変更し、次に両方の OpenLDAP ノードでパスワードを変更します。 Management Server ノードです。
システム管理者パスワードのリセット
システム管理者パスワードを再設定するには、次の 2 か所でパスワードを再設定する必要があります。
- 管理サーバー
- UI
警告: システム管理者をリセットする前に Edge UI を停止する必要があります。 あります。最初に Management Server でパスワードを再設定するため、 UI でまだ古いパスワードが使用されている期間。UI で呼び出しが 4 回以上行われる場合 古いパスワードを使用してログインすると、OpenLDAP サーバーはシステム管理者アカウントを 3 秒間ロックアウトします。 できます。
システム管理者パスワードをリセットするには:
- UI ノードで Edge UI を停止します。
> /opt/apigee/apigee-service/bin/apigee-service edge-ui stop - Management Server で、次のコマンドを実行してパスワードをリセットします。
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW - Edge UI のインストールに使用したサイレント構成ファイルを編集し、次のように設定します。
プロパティ:
APIGEE_ADMINPW=newPW
SMTPHOST=smtp.gmail.com
SMTPPORT=465
SMTPUSER=foo@gmail.com
SMTPPASSWORD=bar
SMTPSSL=y
SMTPMailFROM="My Company <myco@company.com>"
新しいパスワードを渡すときに SMTP プロパティも含める必要があります。これは、すべての UI のプロパティがリセットされます。 - apigee-setup を使用する
ユーティリティを使用して、Edge UI のパスワードを構成ファイルからリセットします。
> /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile - (UI で TLS が有効になっている場合のみ)Edge UI で TLS を再度有効にします。 詳しくは、リソース管理サービス用の TLS の構成を UI です。
複数の Management Server がある OpenLDAP レプリケーション環境では、 一方の Management Server でパスワードを再設定すると、もう一方の Management Server でもパスワードが更新されます。 自動的に適用されます。ただし、すべての Edge UI ノードを個別に更新する必要があります。
組織ユーザーのパスワードを再設定する
組織ユーザーのパスワードを再設定するには、apigee-servce ユーティリティを使用して apigee-setup:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
例:
> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword
「-f」コマンドで使用できる構成ファイルの例を以下に示します。オプション:
USER_NAME= user@myCo.com USER_PWD= "foo12345" APIGEE_ADMINPW= adminPword
また、Update user API を使用して、 変更します。
システム管理者と組織ユーザーのパスワード ルール
このセクションを使用して、API に必要なパスワードの長さと強度レベルを適用します 管理できます。設定では、一連の事前構成された(一意の番号の付いた)通常の 式を使用して、パスワードの内容(大文字、小文字、数字、特殊文字、 あります)。これらの設定を /opt/apigee/customer/application/management-server.properties に書き込みます。 表示されます。このファイルが存在しない場合は作成します。
management-server.properties を編集した後、 Management Server:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
次に、通常のパスワードのさまざまな組み合わせをグループ化して、パスワードの安全度を評価できます。 表します。たとえば、1 つのパスワードに少なくとも 1 つの大文字と 1 つの パスワード強度は小文字であれば「3」になりますが、 文字と数字を 1 つ追加すると、より強い「4」の評価が付けられます。
|
プロパティ |
説明 |
|---|---|
|
conf_security_password.validation.minimum. conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum. |
これらを使用して、有効なパスワードの全体的な特性を判断します。デフォルト パスワードの安全度の最低評価(この表の後半で説明)は 3 です。 password.validation.default.rating=2 は最小評価よりも低いことに注意してください。 これは、入力したパスワードがルールに当てはまらない場合に パスワードは、2 と評価されているため無効です(最小評価を下回っています) の 3)。 |
|
以下に、パスワードの特性を表す正規表現を示します。備考 それぞれに番号が振られます。例: 「password.validation.regex.5=...」 式番号 5 になります。この数字は、ファイルの後のセクションで 組み合わせる必要がある。 |
|
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1 – すべての文字が繰り返されている |
|
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2 – 小文字が 1 つ以上 |
|
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3 – 大文字の英字を 1 つ以上 |
|
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4 – 1 桁以上 |
|
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5 – 1 つ以上の特殊文字(アンダースコア _ を除く) |
|
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6 – アンダースコアが 1 つ以上 |
|
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7 - 小文字が複数ある |
|
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8 – 大文字が複数ある |
|
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9 – 1 桁以上 |
|
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10 – 複数の特殊文字(アンダースコアを除く) |
|
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11 – 複数のアンダースコア |
|
次のルールにより、パスワードの内容に基づいてパスワードの安全度が決定されます。 各ルールには前のセクションの正規表現を 1 つ以上含めて、ルールに 数値強度を適用します。パスワードの安全度は、パスワードの安全度と このファイルの先頭に conf_security_password.validation.minimum.rating.required という番号を追加 パスワードが有効かどうかを判断します。 |
|
|
conf_security_password.validation.rule.1=1、AND、0 conf_security_password.validation.rule.2=2、3、4、AND、4 conf_security_password.validation.rule.3=2、9、AND、4 conf_security_password.validation.rule.4=3、9、AND、4 conf_security_password.validation.rule.5=5、6、OR、4 conf_security_password.validation.rule.6=3、2、AND、3 conf_security_password.validation.rule.7=2、9、AND、3 conf_security_password.validation.rule.8=3、9、AND、3 |
各ルールには番号が付いています。たとえば 「password.validation.rule.3=...」ルール番号 3 です。 各ルールでは、次の形式(等号の右側)を使用します。 <regex-index-list>,<AND|OR>,<rating> regex-index-list は正規表現( と AND|OR 演算子(つまり、 リストされた式すべてまたはいずれか)が含まれます。 rating は、各ルールに与えられる数値の強度評価です。 たとえば、ルール 5 は、1 つ以上の特殊文字または 1 つ以上の
強度評価は 4 になります。password.validation.minimum です |
|
conf_security_rbac.password.validation.enabled=true |
シングル サインオン(SSO)時にロールベース アクセス制御のパスワード検証を false に設定する 有効になります。デフォルトは true です。 |
Cassandra のパスワードのリセット
Cassandra では、デフォルトで認証が無効になっています。認証を有効にすると、 'cassandra' という名前の事前定義ユーザーを使用する(パスワードは「cassandra」)にします。このアカウントを使用して このアカウントに別のパスワードを設定するか、新しい Cassandra ユーザーを作成してください。追加、削除、 Cassandra の CREATE/ALTER/DROP USER ステートメントを使用してユーザーを変更できます。
Cassandra 認証を有効にする方法については、Cassandra 認証を有効にするをご覧ください。
Cassandra のパスワードを再設定するには、次の操作を行う必要があります。
- いずれかの Cassandra ノードでパスワードを設定すると、すべての Cassandra ノードにブロードキャストされます リング内のノードの数
- Management Server、Message Processor、Router、Qpid サーバー、Postgres サーバー、 新しいパスワードを使用して各ノードに
詳細については、http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html をご覧ください。
Cassandra のパスワードをリセットするには:
- cqlsh ツールとデフォルトの Cassandra ノードを使用して、任意の 1 つの Cassandra ノードにログインします。
認証情報が必要です。パスワードの変更は 1 つの Cassandra ノードだけで行います。
リング内のすべての Cassandra ノードにブロードキャストします。
> /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
各要素の意味は次のとおりです。- cassIP は、 指定します。
- 9042 は Cassandra ポートです。
- デフォルト ユーザーは cassandra です。
- デフォルトのパスワードは cassandra です。パスワードを変更した場合 現在のパスワードを使用します。
- cqlsh> プロンプトとして次のコマンドを実行して、
パスワード:
cqlsh>ユーザーの cassandra を次で変更: PASSWORD 'NEW_PASSWORD';
新しいパスワードに一重引用符が含まれている場合は、その前に 1 個の引用符を付けてエスケープします。 使用します。 - cqlsh ツールを終了します。
cqlsh>終了 - Management Server ノードで、次のコマンドを実行します。
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
必要に応じて、新しいユーザー名とパスワードを含むファイルをコマンドに渡すことができます。
>apigee-service Edge-management-server store_cassandra_credentials -f configFile
ここで、configFile には、 フォロー中:
CASS_USERNAME=CASS_USERNAME
CASS_PASSWORD=CASS_PASSWROD
このコマンドを実行すると、Management Server が自動的に再起動されます。 - 次の項目についてステップ 4 を繰り返します。
<ph type="x-smartling-placeholder">
- </ph>
- すべての Message Processor
- すべてのルーター
- すべての Qpid サーバー(edge-qpid-server)
- Postgres サーバー(edge-postgres-server)
- バージョン 4.16.05.04 以降の BaaS Stack ノード:
<ph type="x-smartling-placeholder">
- </ph>
- 次のコマンドを実行して、暗号化されたパスワードを生成します。
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid 安全なパスワード
このコマンドは書式なしテキストのパスワードの入力を求め、 次の形式にします。
セキュア:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050 - /opt/apigee/customer/application/usergrid.properties で次のトークンを設定します。
このファイルが存在しない場合は作成します。
usergrid-deployment_cassandra.username=cassandra
usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
この例では、Cassandra のデフォルトのユーザー名を使用します。ユーザー名を変更した場合は、 usergrid-deployment_cassandra.username の値に適宜変更します。
必ず "SECURE:"プレフィックスを付加します。 それ以外の場合、BaaS スタックは値を暗号化されていないと解釈します。
注: 各 BaaS Stack ノードには、ノードを暗号化するために使用される独自の あります。そのため、暗号化された値を各 BaaS Stack ノードで生成する必要があります。 できます。 - usergrid.properties ファイルの所有権を
「apigee」ユーザー:
>Chown apigee:apigee /opt/apigee/customer/application/usergrid.properties - Stack ノードを構成します。
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid 構成 - BaaS スタックを再起動します。
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid の再起動 - すべての BaaS スタックのノードに対して、上記の手順を繰り返します。
- 次のコマンドを実行して、暗号化されたパスワードを生成します。
これで、Cassandra のパスワードが変更されました。
PostgreSQL パスワードのリセット
デフォルトでは、PostgreSQL データベースには「postgres」という 2 つのユーザーが定義されています。「apigee」です。 どちらのユーザーもデフォルトのパスワードは「postgres」です。次の手順で設定を変更します。 表示されます。
すべての Postgres マスターノードのパスワードを変更します。2 つの Postgres サーバーが構成されている場合 マスター/スタンバイ モードでは、マスターノードのパスワードを変更するだけで済みます。詳しくは、 マスター / スタンバイ レプリケーションを Postgres をご覧ください。
- マスター Postgres ノードで、ディレクトリを /opt/apigee/apigee-postgresql/pgsql/bin に変更します。
- PostgreSQL の「postgres」を設定するユーザー パスワード:
<ph type="x-smartling-placeholder">
- </ph>
コマンドを使用して PostgreSQL データベースにログインします。 >psql -h localhost -d apigee -U postgres- プロンプトが表示されたら、「postgres」と入力します。ユーザー パスワードとして「postgres」と入力します。
- PostgreSQL コマンド プロンプトで、次のコマンドを入力してデフォルト値を変更します。
パスワード:
apigee=>ユーザーの変更 postgres パスワード「apigee1234」を使用 - 次のコマンドを使用して PostgreSQL データベースを終了します。
apigee=>\q
- PostgreSQL に「apigee」を設定するユーザー パスワード:
<ph type="x-smartling-placeholder">
- </ph>
コマンドを使用して PostgreSQL データベースにログインします。 >psql -h localhost -d apigee -U Apigee- プロンプトが表示されたら、「apigee」と入力します。ユーザー パスワードとして「postgres」と入力します。
- PostgreSQL コマンド プロンプトで、次のコマンドを入力してデフォルト値を変更します。
パスワード:
apigee=>ALTER USER Apigee WITH パスワード 'apigee1234'; - 次のコマンドを使用して PostgreSQL データベースを終了します。
apigee=>\q
- APIGEE_HOME を
に設定します。 >エクスポート APIGEE_HOME=/opt/apigee/edge-postgres-server - 新しいパスワードを暗号化する:
>シ /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
このコマンドは、次のように暗号化されたパスワードを返します。暗号化されたパスワードは 「:」「:」は含みません。
暗号化された文字列 :WheaR8U4OeMEM11erxA3Cw== - Management Server ノードを更新して、
「postgres」「apigee」できます。
- Management Server でディレクトリを /opt/apigee/customer/application に変更します。
- management-server.properties ファイルを次のように編集します。
次のプロパティを設定します。このファイルが存在しない場合は作成します。
注: 一部のプロパティは、暗号化された「postgres」です。 ユーザー パスワードで、一部は暗号化された「apigee」をユーザー あります。- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- ファイルの所有者が「apigee」であることを確認します。ユーザー:
>chown apigee:apigee management-server.properties
- すべての Postgres Server ノードと Qpid Server ノードを新しい暗号化されたパスワードで更新します。
- Postgres Server または Qpid Server ノードで、ディレクトリを /opt/apigee/customer/application に変更します。
- 次のファイルを編集します。これらのファイルが存在しない場合は、作成します。
<ph type="x-smartling-placeholder">
- </ph>
- postgres-server.properties
- qpid-server.properties
- 次のプロパティをファイルに追加します。
注: これらのプロパティはすべて、 暗号化された「postgres」表示されます。- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- ファイルの所有者が「apigee」であることを確認します。ユーザー:
>chown apigee:apigee postgres-server.properties
>chown apigee:apigee qpid-server.properties
- 次のコンポーネントをこの順序で再起動します。
<ph type="x-smartling-placeholder">
- </ph>
- PostgreSQL データベース:
> /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql 再起動 - Qpid Server:
> /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart - Postgres サーバー:
> /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart - 管理サーバー:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- PostgreSQL データベース: