Edge-Passwörter zurücksetzen

Edge for Private Cloud Version 4.17.09

Sie können die Passwörter für OpenLDAP, den Apigee Edge-Systemadministrator, den Edge-Nutzer der Organisation und Cassandra nach Abschluss der Installation zurücksetzen.

OpenLDAP-Passwort zurücksetzen

Je nach Edge-Konfiguration kann OpenLDAP so installiert werden:

  • Eine einzelne Instanz von OpenLDAP, die auf dem Verwaltungsserverknoten installiert ist. Beispiel: in einer Edge-Konfiguration mit 2, 5 oder 9 Knoten.
  • Mehrere OpenLDAP-Instanzen, die auf Management-Serverknoten installiert und mit OpenLDAP-Replikation konfiguriert sind. Beispiel: Edge-Konfiguration mit 12 Knoten
  • Mehrere OpenLDAP-Instanzen, die auf eigenen Knoten installiert und mit OpenLDAP-Replikation konfiguriert sind. Beispiel: In einer Edge-Konfiguration mit 13 Knoten.

Wie Sie das OpenLDAP-Passwort zurücksetzen, hängt von Ihrer Konfiguration ab.

Führen Sie für eine einzelne OpenLDAP-Instanz, die auf dem Verwaltungsserver installiert ist, folgende Schritte aus:

  1. Führen Sie auf dem Management-Server-Knoten den folgenden Befehl aus, um das neue OpenLDAP-Passwort zu erstellen:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. Führen Sie den folgenden Befehl aus, um das neue Passwort für den Zugriff durch den Verwaltungsserver zu speichern:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword

    Mit diesem Befehl wird der Verwaltungsserver neu gestartet.

Führen Sie bei einer OpenLDAP-Replikationseinrichtung mit OpenLDAP auf Managementserverknoten die oben genannten Schritte auf beiden Verwaltungsserverknoten aus, um das Passwort zu aktualisieren.

Bei einer OpenLDAP-Replikationseinrichtung, bei der sich OpenLDAP auf einem anderen Knoten als dem Verwaltungsserver befindet, müssen Sie zuerst das Passwort auf beiden OpenLDAP-Knoten und dann auf beiden Verwaltungsserverknoten ändern.

Systemadministratorpasswort zurücksetzen

Beim Zurücksetzen des Administratorpassworts des Systems müssen Sie das Passwort an zwei Stellen zurücksetzen:

  • Verwaltungsserver
  • UI

Warnung: Sie sollten die Edge-Benutzeroberfläche beenden, bevor Sie das Systemadministratorpasswort zurücksetzen. Da Sie das Passwort zuerst auf dem Verwaltungsserver zurücksetzen, kann es kurzzeitig dauern, bis in der UI noch das alte Passwort verwendet wird. Wenn die UI mehr als drei Aufrufe mit dem alten Passwort durchführt, sperrt der OpenLDAP-Server das Systemadministratorkonto für drei Minuten.

So setzen Sie das Passwort des Systemadministrators zurück:

  1. Beenden Sie die Edge-Benutzeroberfläche auf dem UI-Knoten:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Führen Sie auf dem Verwaltungsserver den folgenden Befehl aus, um das Passwort zurückzusetzen:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. Bearbeiten Sie die Silent-Konfigurationsdatei, mit der Sie die Edge-Benutzeroberfläche installiert haben, um die folgenden Eigenschaften festzulegen:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

    Sie müssen die SMTP-Eigenschaften angeben, wenn Sie das neue Passwort übergeben, da alle Eigenschaften auf der Benutzeroberfläche zurückgesetzt werden.
  4. Verwenden Sie das apigee-setup-Hilfsprogramm, um das Passwort in der Edge-Benutzeroberfläche über die Konfigurationsdatei zurückzusetzen:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Nur, wenn TLS in der Benutzeroberfläche aktiviert ist) Aktivieren Sie TLS in der Edge-Benutzeroberfläche wie unter TLS für die Verwaltungsoberfläche konfigurieren beschrieben.

In einer OpenLDAP-Replikationsumgebung mit mehreren Managementservern wird durch das Zurücksetzen des Passworts auf einem Verwaltungsserver der andere Verwaltungsserver automatisch aktualisiert. Sie müssen jedoch alle Edge-UI-Knoten separat aktualisieren.

Passwort des Nutzers der Organisation zurücksetzen

Wenn Sie das Passwort für einen Nutzer einer Organisation zurücksetzen möchten, verwenden Sie das Dienstprogramm „apigee-service“, um „apigee-setup“ aufzurufen:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Beispiel:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

Unten sehen Sie ein Beispiel für eine Konfigurationsdatei, die Sie mit der Option „-f“ verwenden können:

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

Sie können das Nutzerpasswort auch mit der Update user API ändern.

Passwortregeln für Systemadministratoren und Nutzer der Organisation

In diesem Bereich können Sie die gewünschte Länge und Stärke von Passwörtern für Nutzer der API-Verwaltung erzwingen. Die Einstellungen verwenden eine Reihe vorkonfigurierter (und eindeutig nummerierter) regulärer Ausdrücke, um den Passwortinhalt zu prüfen, z. B. Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Schreiben Sie diese Einstellungen in die Datei /opt/apigee/customer/application/management-server.properties. Wenn diese Datei nicht vorhanden ist, erstellen Sie sie.

Starten Sie den Verwaltungsserver neu, nachdem Sie management-server.properties bearbeitet haben:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Sie können dann Bewertungen der Passwortstärke festlegen, indem Sie verschiedene Kombinationen von regulären Ausdrücken gruppieren. Sie können beispielsweise festlegen, dass ein Passwort mit mindestens einem Großbuchstaben und einem Kleinbuchstaben die Stärke „3“ erhält, ein Passwort mit mindestens einem Kleinbuchstaben und einer Zahl aber die stärkere Bewertung „4“.

Properties

Beschreibung

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

Anhand dieser Informationen können Sie die Eigenschaften gültiger Passwörter insgesamt ermitteln. Die Standard-Mindestbewertung für die Passwortstärke (siehe Tabelle unten) ist 3.

Beachten Sie, dass „password.validation.default.rating=2“ unter der erforderlichen Mindestbewertung liegt. Wenn ein eingegebenes Passwort also nicht den von Ihnen konfigurierten Regeln entspricht, erhält es die Bewertung 2 und ist daher ungültig (unter der Mindestbewertung 3).

Im Folgenden finden Sie reguläre Ausdrücke, die Passwortmerkmale identifizieren. Beachten Sie, dass jede Zeile nummeriert ist. Beispiel: „password.validation.regex.5=…“ ist Ausdruck 5. Sie verwenden diese Nummern in einem späteren Abschnitt der Datei, um verschiedene Kombinationen festzulegen, die die Gesamtpasswortstärke bestimmen.

conf_security_password.validation.regex.1=^(.)\\1+$

1 – Alle Zeichen werden wiederholt

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – Mindestens ein Kleinbuchstabe

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – Mindestens ein Großbuchstabe

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – Mindestens eine Ziffer

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – Mindestens ein Sonderzeichen (kein Unterstrich _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – Mindestens ein Unterstrich

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 – Mehr als ein Kleinbuchstabe

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – Mehr als ein Großbuchstaben

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – Mehr als eine Ziffer

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – Mehr als ein Sonderzeichen (ohne Unterstrich)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – Mehr als ein Unterstrich

Die folgenden Regeln bestimmen die Passwortstärke basierend auf dem Passwortinhalt. Jede Regel enthält einen oder mehrere reguläre Ausdrücke aus dem vorherigen Abschnitt und weist ihnen eine numerische Stärke zu. Die numerische Stärke eines Passworts wird mit der Zahl „conf_security_password.validation.minimum.rating.required“ oben in dieser Datei verglichen, um zu bestimmen, ob ein Passwort gültig ist.

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

Jede Regel ist nummeriert. Beispiel: "password.validation.rule.3=..." ist Regelnummer 3.

Jede Regel hat das folgende Format (rechts neben dem Gleichheitszeichen):

<Regex-Index-Liste>,<UND|ODER>,<Bewertung>

regex-index-list ist die Liste der regulären Ausdrücke (nach Nummer aus dem vorherigen Abschnitt) zusammen mit einem AND|OR-Operator (d. h. alle oder einen der aufgeführten Ausdrücke berücksichtigen).

rating ist die numerische Bewertung der Stärke der einzelnen Regeln.

Beispiel: Regel 5 bedeutet, dass jedes Passwort mit mindestens einem Sonderzeichen ODER einem Unterstrich eine Stärkebewertung von 4 erhält. Mit „password.validation.minimum“
rating.required=3 oben in der Datei ist ein Passwort mit der Bewertung 4 gültig.

conf_security_rbac.password.validation.enabled=true

Legen Sie die Passwortbestätigung für die rollenbasierte Zugriffssteuerung auf „false“ fest, wenn die Einmalanmeldung (SSO) aktiviert ist. Standardwert ist True.

Cassandra-Passwort wird zurückgesetzt

Standardmäßig ist die Authentifizierung in Cassandra deaktiviert. Wenn Sie die Authentifizierung aktivieren, wird ein vordefinierter Nutzer mit dem Namen cassandra und dem Passwort cassandra verwendet. Sie können dieses Konto verwenden, ein anderes Passwort für dieses Konto festlegen oder einen neuen Cassandra-Nutzer erstellen. Mit den Cassandra-Anweisungen CREATE/ALTER/DROP USER können Sie Nutzer hinzufügen, entfernen und ändern.

Informationen zum Aktivieren der Cassandra-Authentifizierung finden Sie unter Cassandra-Authentifizierung aktivieren.

So setzen Sie das Cassandra-Passwort zurück:

  • Legen Sie das Passwort auf einem beliebigen Cassandra-Knoten fest. Es wird dann an alle Cassandra-Knoten im Ring übertragen.
  • Aktualisieren Sie den Verwaltungsserver, die Nachrichten-Prozessoren, die Router, die Qpid-Server, die Postgres-Server und den BaaS-Stack auf jedem Knoten mit dem neuen Passwort.

Weitere Informationen finden Sie unter http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

So setzen Sie das Cassandra-Passwort zurück:

  1. Melden Sie sich mit dem Tool cqlsh und den Standardanmeldedaten bei einem beliebigen Cassandra-Knoten an. Sie müssen das Passwort nur auf einem Cassandra-Knoten ändern. Es wird dann an alle Cassandra-Knoten im Ring gesendet:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Wobei:
    • cassIP ist die IP-Adresse des Cassandra-Knotens.
    • 9042 ist der Cassandra-Port.
    • Der Standardnutzer ist cassandra.
    • Das Standardpasswort lautet cassandra. Wenn Sie das Passwort bereits geändert haben, verwenden Sie das aktuelle Passwort.
  2. Führen Sie den folgenden Befehl als cqlsh>-Eingabeaufforderung aus, um das Passwort zu aktualisieren:
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Wenn das neue Passwort ein einzelnes Anführungszeichen enthält, müssen Sie ihm ein einfaches Anführungszeichen voranstellen.
  3. Schließen Sie das cqlsh-Tool:
    cqlsh> exit
  4. Führen Sie auf dem Management-Server-Knoten den folgenden Befehl aus:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Optional können Sie dem Befehl eine Datei mit dem neuen Nutzernamen und Passwort übergeben:
    > apigee-service edge-management-server store_cassandra_credentials -f configFile

    Die Datei configFile muss Folgendes enthalten:
    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD

    Mit diesem Befehl wird der Management-Server automatisch neu gestartet.
  5. Wiederholen Sie Schritt 4 für:
    • Alle Nachrichtenverarbeiter
    • Alle Router
    • Alle Qpid-Server (edge-qpid-server)
    • Postgres-Server (edge-postgres-server)
  6. Auf dem BaaS-Stack-Knoten für Version 4.16.05.04 und höher:
    1. Führen Sie den folgenden Befehl aus, um ein verschlüsseltes Passwort zu generieren:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Dieser Befehl fordert Sie zur Eingabe des Nur-Text-Passworts auf und gibt das verschlüsselte Passwort in der folgenden Form zurück:
      SECURE:ae1b6dedbf6b26aaab8bee715a9f23c9f4b81c5b3bf11b1b1b1bf1b1b1b1b1b1b1bbbfbbb26aaab83c7bf6b26aaab8c7b3c1b1b61b6bf6b26aaab8bee715a91b1b6dedbf6b26aaab8bee715a91b1b1b1b1b1bb1b1b1bc1b1b1b1b1bbbbbbbbbfb/fc/sczczczczczczcz/r
    2. Legen Sie die folgenden Tokens in /opt/apigee/customer/application/usergrid.properties fest. Wenn diese Datei nicht vorhanden ist, erstellen Sie sie:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050

      In diesem Beispiel wird der Standardnutzername für Cassandra verwendet. Wenn Sie den Nutzernamen geändert haben, legen Sie den Wert für usergrid-deployment_cassandra.username entsprechend fest.

      Achten Sie darauf, dem Passwort das Präfix SECURE: hinzuzufügen. Andernfalls interpretiert der BaaS-Stack den Wert als unverschlüsselt.

      Hinweis: Jeder BaaS Stack-Knoten hat einen eigenen eindeutigen Schlüssel, mit dem das Passwort verschlüsselt wird. Daher müssen Sie den verschlüsselten Wert auf jedem BaaS-Stack-Knoten separat generieren.
    3. Ändern Sie die Inhaberschaft der Datei usergrid.properties in den Nutzer „apigee“:
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Konfigurieren Sie den Stack-Knoten:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. Starten Sie den BaaS-Stack neu:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. Wiederholen Sie diese Schritte für alle BaaS-Stack-Nominierungen.

Das Cassandra-Passwort wurde jetzt geändert.

PostgreSQL-Passwort zurücksetzen

Standardmäßig sind in der PostgreSQL-Datenbank zwei Nutzer definiert: „postgres“ und „apigee“. Beide Nutzer haben das Standardpasswort „postgres“. Gehen Sie so vor, um das Standardpasswort zu ändern:

Ändern Sie das Passwort auf allen Postgres-Masterknoten. Wenn Sie zwei Postgres-Server im Master/Standby-Modus konfiguriert haben, müssen Sie nur das Passwort auf dem Masterknoten ändern. Weitere Informationen finden Sie unter Master-Standby-Replikation für Postgres einrichten.

  1. Wechseln Sie auf dem Master-Postgres-Knoten zum Verzeichnis /opt/apigee/apigee-postgresql/pgsql/bin.
  2. Legen Sie das PostgreSQL-Nutzerpasswort „postgres“ fest:
    1. Melden Sie sich mit dem Befehl in der PostgreSQL-Datenbank an:
      > psql -h localhost -d apigee -U postgres
    2. Wenn Sie dazu aufgefordert werden, geben Sie das Nutzerpasswort „postgres“ in Form von „postgres“ ein.
    3. Geben Sie an der PostgreSQL-Eingabeaufforderung den folgenden Befehl ein, um das Standardpasswort zu ändern:
      apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234';
    4. Beenden Sie die PostgreSQL-Datenbank mit dem folgenden Befehl:
      apigee=> \q
  3. Legen Sie das PostgreSQL-Nutzerpasswort „apigee“ fest:
    1. Melden Sie sich mit dem folgenden Befehl bei der PostgreSQL-Datenbank an:
      > psql -h localhost -d apigee -U apigee
    2. Geben Sie bei Aufforderung das Passwort für den Nutzer „apigee“ als „postgres“ ein.
    3. Geben Sie an der PostgreSQL-Eingabeaufforderung den folgenden Befehl ein, um das Standardpasswort zu ändern:
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
    4. Beenden Sie die PostgreSQL-Datenbank mit dem Befehl:
      apigee=> \q
  4. APIGEE_HOME festlegen:
    > export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Verschlüsseln Sie das neue Passwort:
    > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Dieser Befehl gibt das verschlüsselte Passwort zurück, wie unten dargestellt. Das verschlüsselte Passwort beginnt nach dem Doppelpunkt und enthält ihn nicht.
    Verschlüsselter String :WheaR8U4OeMEM11erxA3Cw==
  6. Aktualisieren Sie den Knoten „Management Server“ mit den neuen verschlüsselten Passwörtern für die Nutzer „postgres“ und „apigee“.
    1. Wechseln Sie auf dem Verwaltungsserver zum Verzeichnis /opt/apigee/customer/application.
    2. Bearbeiten Sie die Datei management-server.properties, um die folgenden Eigenschaften festzulegen. Wenn diese Datei nicht vorhanden ist, erstellen Sie sie:
      Hinweis: Für einige Properties wird das verschlüsselte Nutzerpasswort „postgres“ und für andere das verschlüsselte Nutzerpasswort „apigee“ verwendet.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Achten Sie darauf, dass der Inhaber der Datei der Nutzer „apigee“ ist:
      > chown apigee:apigee management-server.properties
  7. Aktualisieren Sie alle Postgres-Server- und Qpid-Serverknoten mit dem neuen verschlüsselten Passwort.
    1. Wechseln Sie auf dem Postgres-Server- oder Qpid-Serverknoten zum Verzeichnis /opt/apigee/customer/application.
    2. Bearbeiten Sie die folgenden Dateien. Wenn diese Dateien nicht vorhanden sind, erstellen Sie sie:
      • postgres-server.properties
      • qpid-server.properties
    3. Fügen Sie den Dateien die folgenden Eigenschaften hinzu:
      Hinweis: Für alle diese Eigenschaften wird das verschlüsselte Passwort des Nutzers „postgres“ verwendet.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Achten Sie darauf, dass der Eigentümer der Dateien „apigee“ ist:
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. Starte die folgenden Komponenten in dieser Reihenfolge neu:
    1. PostgreSQL-Datenbank:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Qpid-Server:
      > /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Postgres-Server:
      > /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Verwaltungsserver:
      > /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart