إعادة ضبط كلمات مرور Edge

Edge for Private Cloud، الإصدار 4.17.09

يمكنك إعادة ضبط كلمات مرور OpenLDAP ومشرف نظام Apigee Edge ومستخدم مؤسسة Edge وكلمات مرور Cassandra بعد اكتمال عملية التثبيت.

إعادة ضبط كلمة مرور OpenLDAP

استنادًا إلى إعدادات Edge، يمكن تثبيت OpenLDAP على النحو التالي:

  • مثيل واحد من OpenLDAP مثبَّت على عقدة "خادم الإدارة" على سبيل المثال، في إعداد Edge المكوَّن من عقدة أو 5 عُقد أو 9 عُقد.
  • عدة نُسخ من OpenLDAP مثبَّتة على عقد "خادم الإدارة"، تم ضبطها باستخدام ميزة "تكرار OpenLDAP" على سبيل المثال، في إعداد Edge يتضمّن 12 عقدة.
  • نُسخ متعددة من OpenLDAP مثبّتة على العقد الخاصة بها، تم ضبطها باستخدام ميزة النسخ المتعدّد في OpenLDAP على سبيل المثال، في إعداد Edge المكوَّن من 13 عقدة.

تعتمد طريقة إعادة ضبط كلمة مرور OpenLDAP على الإعدادات.

بالنسبة إلى نسخة واحدة من OpenLDAP مثبّتة على "خادم الإدارة"، عليك تنفيذ الخطوات التالية:

  1. في عقدة "خادم الإدارة"، شغِّل الأمر التالي لإنشاء كلمة مرور OpenLDAP الجديدة:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. شغِّل الأمر التالي لتخزين كلمة المرور الجديدة للوصول إلى "خادم الإدارة":
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword

    يؤدي هذا الأمر إلى إعادة تشغيل "خادم الإدارة".

في عملية إعداد النسخ المتعدّد في OpenLDAP مع تثبيت OpenLDAP على نُقط Management Server، اتّبِع الخطوات أعلاه على كلّ من نُقط Management Server لتعديل كلمة المرور.

أثناء إعداد النسخ المماثل لـ OpenLDAP مع وجود OpenLDAP على عقدة أخرى غير خادم الإدارة، احرص أولاً على تغيير كلمة المرور على كل من عقدتي OpenLDAP، ثم على كلتا عُقدتي خادم الإدارة.

إعادة ضبط كلمة مرور مشرف النظام

تتطلّب إعادة ضبط كلمة مرور مشرف النظام إعادة ضبط كلمة المرور في مكانَين:

  • خادم الإدارة
  • واجهة المستخدم

تحذير: يجب إيقاف واجهة مستخدم Edge قبل إعادة ضبط كلمة مرور مشرف النظام. بما أنّك أعدت ضبط كلمة المرور أولاً على "خادم الإدارة"، قد تستمر واجهة المستخدم في استخدام كلمة المرور القديمة لفترة قصيرة. إذا أجرت واجهة المستخدم أكثر من ثلاث مكالمات باستخدام كلمة المرور القديمة، يحظر خادم OpenLDAP حساب مشرف النظام لمدة ثلاث دقائق.

لإعادة ضبط كلمة مرور مشرف النظام:

  1. في عقدة واجهة المستخدم، أوقِف واجهة مستخدم Edge:
    > ‎/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. على "خادم الإدارة"، شغِّل الأمر التالي لإعادة ضبط كلمة المرور:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. عدِّل ملف الضبط الصامت الذي استخدمته لتثبيت واجهة مستخدم Edge لضبط الخصائص التالية:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

    تجدر الإشارة إلى أنّه عليك تضمين سمات SMTP عند إدخال كلمة المرور الجديدة لأنّه تتم إعادة ضبط كل الخصائص في واجهة المستخدم.
  4. استخدِم الأداة apigee-setup لإعادة ضبط كلمة المرور في واجهة مستخدم Edge من ملف الإعدادات:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (فقط في حال تفعيل بروتوكول TLS في واجهة المستخدم) أعِد تفعيل بروتوكول TLS في واجهة مستخدم Edge كما هو описан في ضبط بروتوكول TLS لواجهة مستخدم التحكّم.

في بيئة النسخ المتماثل لـ OpenLDAP باستخدام خوادم إدارة متعددة، تؤدي إعادة ضبط كلمة المرور في أحد خوادم الإدارة إلى تحديث خادم الإدارة الآخر تلقائيًا. ومع ذلك، عليك تعديل جميع عقد واجهة مستخدم Edge بشكل منفصل.

إعادة ضبط كلمة مرور مستخدم المؤسسة

لإعادة ضبط كلمة المرور لمستخدم مؤسسة، استخدِم الأداة المساعدة apigee-servece لاستدعاء إعداد apigee:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

على سبيل المثال:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

في ما يلي مثال على ملف الإعدادات الذي يمكنك استخدامه مع الخيار "-f":

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

يمكنك أيضًا استخدام واجهة برمجة التطبيقات Update user لتغيير كلمة مرور المستخدم.

قواعد كلمة مرور مشرف النظام ومستخدم المؤسسة

استخدِم هذا القسم لفرض مستوى مطلوب من طول كلمة المرور وقوتها لمستخدمي إدارة واجهة برمجة التطبيقات. تستخدم الإعدادات سلسلة من التعبيرات العادية التي تم ضبطها مسبقًا (المرقمة بشكل فريد) للتحقّق من محتوى كلمة المرور (مثل الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة). اكتب هذه الإعدادات في ملف /opt/apigee/customer/application/management-server.properties. إذا لم يكن هذا الملف متوفّرًا، أنشِئه.

بعد تعديل management-server.properties، أعِد تشغيل خادم الإدارة:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

يمكنك بعد ذلك ضبط تقييمات قوة كلمة المرور من خلال تجميع مجموعات مختلفة من التعبيرات العادية. على سبيل المثال، يمكنك تحديد أنّ كلمة المرور التي تحتوي على حرف كبير واحد على الأقل وحرف صغير واحد تحصل على تقييم قوة "3"، ولكن كلمة المرور التي تحتوي على حرف صغير واحد على الأقل وعدد واحد تحصل على تقييم قوة أعلى من "4".

المواقع

الوصف

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.الحدّ الأدنى.
rating.required=3

استخدِم هذه الخصائص لتحديد الخصائص العامة لكلمات المرور الصالحة. الحد الأدنى التلقائي لتقييم قوة كلمة المرور (الموضَّح لاحقًا في الجدول) هو 3.

يُرجى ملاحظة أنّ كلمة المرور.Verifyation.default.rating=2 هي أقل من الحد الأدنى للتقييم المطلوب، ما يعني أنّه إذا كانت كلمة المرور التي تم إدخالها لا تلتزم بالقواعد التي أعددتها، سيتم منح كلمة المرور التقييم 2، وبالتالي تكون غير صالحة (أقل من الحد الأدنى للتقييم 3).

في ما يلي التعبيرات العادية التي تحدد خصائص كلمة المرور. يُرجى ملاحظة أنّ كلّ نموذج مرقّم. على سبيل المثال، "password.verifyation.regex.5=..." هو التعبير رقم 5. ستستخدم هذه الأرقام في قسم لاحق من الملف لضبط مجموعات مختلفة تحدّد قوة كلمة المرور بشكل عام.

conf_security_password.validation.regex.1=^(.)\\1+$

1 - تكرار جميع الأحرف

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2- حرف صغير واحد على الأقل

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 - حرف كبير واحد على الأقل

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – رقم واحد على الأقل

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 - رمز خاص واحد على الأقل (باستثناء الشرطة السفلية _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 - يجب أن يتضمّن اسم المستخدم شرطة سفلية واحدة على الأقل.

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 - أكثر من حرف صغير واحد

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 - أكثر من حرف كبير واحد

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 - أكثر من رقم واحد

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – أكثر من رمز خاص واحد (باستثناء الشرطة السفلية)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 - أكثر من شرطة سفلية واحدة

تحدِّد القواعد التالية مدى قوة كلمة المرور استنادًا إلى محتوى كلمة المرور. تتضمّن كل قاعدة تعبيرًا عاديًا واحدًا أو أكثر من القسم السابق وتخصّص قوة رقمية له. تتم مقارنة القوة الرقمية لكلمة المرور بالرقم conf_security_password.validation.minimum.rating.required في أعلى هذا الملف لتحديد ما إذا كانت كلمة المرور صالحة أم لا.

conf_security_password.Verifyation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

كل قاعدة مرقمة. على سبيل المثال، "password.validation.rule.3=…" هو القاعدة رقم 3.

تستخدِم كل قاعدة التنسيق التالي (على يسار علامة التساوي):

<regex-index-list>,<AND|OR>,<rating>

regex-index-list هي قائمة بالتعابير العادية (حسب الرقم من القسم السابق)، بالإضافة إلى عامل التشغيل AND|OR (أي أنّنا نأخذ في الاعتبار كل التعبيرات المدرَجة أو أيًا منها).

التقييم هو التقييم الرقمي للقوة الذي تم منحه لكل قاعدة.

على سبيل المثال، تعني القاعدة 5 أنّ أي كلمة مرور تحتوي على حرف خاص واحد على الأقل أو شرطة تحتية واحدة تحصل على تقييم القوة 4. باستخدام password.validation.minimum.
rating.required=3 في أعلى الملف، تكون كلمة المرور التي حصلت على تقييم 4 صالحة.

conf_security_rbac.password.validation.enabled=true

ضبط التحقق من صحة كلمة مرور التحكم في الوصول المستند إلى الدور على "خطأ" عند تفعيل الدخول الموحّد (SSO). الإعداد التلقائي هو "صحيح".

إعادة ضبط كلمة مرور Cassandra

يتم شحن Cassandra تلقائيًا مع إيقاف المصادقة. في حال تفعيل المصادقة، يستخدم مستخدمًا محدّدًا مسبقًا باسم "cassandra" وكلمة مرور "cassandra". يمكنك استخدام هذا الحساب، أو ضبط كلمة مرور مختلفة لهذا الحساب، أو إنشاء مستخدم جديد في Cassandra. إضافة المستخدمين وإزالتهم وتعديلهم باستخدام عبارات CREATE/ALTER/DROP USER في Cassandra

للحصول على معلومات عن كيفية تفعيل مصادقة Cassandra، يُرجى الاطّلاع على تفعيل مصادقة Cassandra.

لإعادة ضبط كلمة مرور Cassandra، عليك إجراء ما يلي:

  • اضبط كلمة المرور على أي عقدة من عقد Cassandra، وسيتم بثها إلى جميع عقد Cassandra في الحلقة.
  • عدِّل كلمة المرور الجديدة في "خادم الإدارة" و"معالجات الرسائل" و"أجهزة التوجيه" و"خوادم Qpid" و"خوادم Postgres" و"مجموعة BaaS" على كل عقدة.

لمزيد من المعلومات، يُرجى الاطّلاع على http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

لإعادة ضبط كلمة مرور Cassandra:

  1. سجِّل الدخول إلى أي عقدة من عقد Cassandra باستخدام أداة cqlsh وبيانات الاعتماد الافتراضية. ما عليك سوى تغيير كلمة المرور في عقدة Cassandra واحدة وستتم نشرها على جميع عقد Cassandra في الحلقة:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    حيث:
    • cassIP هو عنوان IP الخاص بعقدة Cassandra.
    • 9042 هو منفذ Cassandra.
    • المستخدم التلقائي هو cassandra.
    • كلمة المرور التلقائية هي cassandra. إذا سبق لك تغيير كلمة المرور ، استخدِم كلمة المرور الحالية.
  2. نفِّذ الأمر التالي عندما يظهر لك الطلب cqlsh> لتعديل كلمة المرور:
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    إذا كانت كلمة المرور الجديدة تحتوي على حرف اقتباس واحد، استخدِم حرف اقتباس واحد قبله لتجنُّب حدوث خطأ.
  3. اخرج من الأداة cqlsh:
    cqlsh> exit.
  4. في عقدة "خادم الإدارة"، شغِّل الأمر التالي:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    يمكنك اختياريًا تمرير ملف إلى الأمر يحتوي على اسم المستخدم وكلمة المرور الجديدَين:
    > apigee-service edge-management-server store_cassandra_credentials -f configFile

    حيث يحتوي configFile على ما يلي:
    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD

    يعيد هذا الأمر تشغيل "خادم الإدارة" تلقائيًا.
  5. كرِّر الخطوة 4 على:
    • جميع معالجات الرسائل
    • جميع أجهزة التوجيه
    • جميع خوادم Qpid (edge-qpid-server)
    • خوادم Postgres (خادم Postgres)
  6. في عقدة حزمة BaaS للإصدار 4.16.05.04 والإصدارات الأحدث:
    1. شغِّل الأمر التالي لإنشاء كلمة مرور مشفّرة:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      سيطلب منك هذا الأمر إدخال كلمة المرور النصية العادية ويعرض كلمة المرور المشفّرة في الشكل التالي:
      SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. اضبط الرموز المميّزة التالية في /opt/apigee/customer/application/usergrid.properties. إذا لم يكن هذا الملف متوفّرًا، أنشِئه:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050

      يستخدم هذا المثال اسم المستخدم التلقائي لخدمة Cassandra. إذا غيّرت اسم المستخدم، اضبط قيمة usergrid-deployment_cassandra.username وفقًا لذلك.

      تأكَّد من تضمين البادئة "SECURE:" في كلمة المرور. بخلاف ذلك، تفسِّر حزمة BaaS Stack القيمة على أنّها غير مشفَّرة.

      ملاحظة: تحتوي كل عقدة من BaaS Stack على مفتاح فريد خاص بها يُستخدَم لتشفير كلمة المرور. لذلك، عليك إنشاء القيمة المشفّرة على كل عقدة من حِزم BaaS بشكل منفصل.
    3. غيِّر ملكية ملف usergrid.properties إلى مستخدم "apigee":
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. ضبط عقدة Stack:
      > ‎/opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. أعِد تشغيل حِزمة BaaS:
      > ‎/opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. كرِّر هذه الخطوات لجميع عقد BaaS Stack.

تم تغيير كلمة مرور Cassandra الآن.

إعادة ضبط كلمة مرور PostgreSQL

تتضمّن قاعدة بيانات PostgreSQL تلقائيًا مستخدمَين محدّدَين: "postgres" و"apigee". لدى كلا المستخدمَين كلمة مرور تلقائية هي postgres. اتّبِع الإجراء التالي لتغيير كلمة المرور التلقائية.

تغيير كلمة المرور على جميع العقد الرئيسية في Postgres إذا كان لديك خادمان من خوادم Postgres تم ضبطهما في وضعي الرئيسي/الاستعداد، عليك تغيير كلمة المرور فقط في العقدة الرئيسية. لمعرفة مزيد من المعلومات، يمكنك الاطّلاع على إعداد النسخ الاحتياطي الرئيسي في تطبيق Postgres.

  1. في عقدة Postgres الرئيسية، غيِّر الدليل إلى /opt/apigee/apigee-postgresql/pgsql/bin.
  2. اضبط كلمة مرور مستخدم PostgreSQL "postgres":
    1. سجِّل الدخول إلى قاعدة بيانات PostgreSQL باستخدام الأمر:
      > psql -h localhost -d apigee -U postgres
    2. عند الطلب، أدخِل كلمة مرور المستخدم "postgres" على النحو التالي: "postgres".
    3. في موجِّه أوامر PostgreSQL، أدخِل الأمر التالي لتغيير كلمة المرور الافتراضية:
      apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234';
    4. يمكنك الخروج من قاعدة بيانات PostgreSQL باستخدام الأمر:
      apigee=> \q
  3. اضبط كلمة مرور مستخدم PostgreSQL "apigee":
    1. سجِّل الدخول إلى قاعدة بيانات PostgreSQL باستخدام الأمر:
      > psql -h localhost -d apigee -U apigee
    2. أدخِل كلمة مرور المستخدم "apigee" كـ "postgres"، عندما يُطلب منك ذلك.
    3. في موجه أوامر PostgreSQL، أدخِل الأمر التالي لتغيير كلمة المرور الافتراضية:
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
    4. يمكنك الخروج من قاعدة بيانات PostgreSQL باستخدام الأمر:
      apigee=> \q
  4. اضبط APIGEE_HOME:
    > export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. تشفير كلمة المرور الجديدة:
    > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    يعرض هذا الأمر كلمة المرور المشفّرة كما هو موضّح أدناه. تبدأ كلمة المرور المشفّرة بعد حرف ":" ولا تتضمّن ":".
    السلسلة المشفّرة :WheaR8U4OeMEM11erxA3Cw==
  6. عدِّل عقدة "خادم الإدارة" باستخدام كلمات المرور الجديدة المُشفَّرة الخاصة بمستخدمي "postgres" و"apigee".
    1. على "خادم الإدارة"، غيِّر الدليل إلى /opt/apigee/customer/application.
    2. عدِّل ملف management-server.properties لضبط الخصائص التالية. إذا لم يكن هذا الملف متوفّرًا، أنشِئه:
      ملاحظة: تأخذ بعض المواقع كلمة مرور مستخدم المشفّرة "postgres" ، بينما تأخذ بعض المواقع كلمة مرور مستخدم المشفّرة "apigee" .
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. تأكَّد من أنّ الملف يملكه مستخدم "apigee":
      > chown apigee:apigee management-server.properties
  7. عدِّل جميع عُقد خادم Postgres وQpid Server باستخدام كلمة المرور الجديدة المشفَّرة.
    1. في عقدة خادم Postgres أو خادم Qpid، غيِّر الدليل إلى /opt/apigee/customer/application.
    2. عدِّل الملفات التالية. في حال عدم توفّر هذه الملفات، عليك إنشاؤها:
      • postgres-server.properties
      • qpid-server.properties
    3. أضِف السمات التالية إلى الملفات:
      ملاحظة: تأخذ كل هذه السمات كلمة مرور مستخدم postgres المشفَّرة.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. تأكَّد من أنّ الملفات مملوكة للمستخدم "apigee":
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. أعِد تشغيل المكوّنات التالية بهذا الترتيب:
    1. قاعدة بيانات PostgreSQL:
      > ‎/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. خادم Qpid:
      > ‎/opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. خادم Postgres:
      > ‎/opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. خادم الإدارة:
      > ‎/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart