Restablece las contraseñas de Edge

Edge para nube privada v. 4.17.09

Una vez que se complete la instalación, podrás restablecer el OpenLDAP, el administrador del sistema de Apigee Edge, el usuario de la organización de Edge y las contraseñas de Cassandra.

Restablecer contraseña de OpenLDAP

Según la configuración de Edge, OpenLDAP se puede instalar de la siguiente manera:

  • Una única instancia de OpenLDAP instalado en el nodo del servidor de administración. Por ejemplo, en una configuración perimetral de 2, 5 o 9 nodos.
  • Varias instancias de OpenLDAP instaladas en los nodos del servidor de administración, configuradas con la replicación de OpenLDAP. Por ejemplo, en una configuración perimetral de 12 nodos.
  • Varias instancias de OpenLDAP instaladas en sus propios nodos, configuradas con la replicación de OpenLDAP. Por ejemplo, en una configuración perimetral de 13 nodos.

La manera de restablecer la contraseña de OpenLDAP depende de tu configuración.

Para una sola instancia de OpenLDAP instalado en el servidor de administración, realiza lo siguiente:

  1. En el nodo del servidor de administración, ejecuta el siguiente comando para crear la nueva contraseña de OpenLDAP:
    >/opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. Ejecuta el siguiente comando para almacenar la contraseña nueva de acceso del servidor de administración:
    >/opt/apigee/apigee-service/bin/apigee-service perimetral-management-server store_ldap_credentials -p newPword

    Este comando reinicia el servidor de administración.

En una configuración de replicación de OpenLDAP con OpenLDAP instalado en los nodos del servidor de administración, sigue los pasos anteriores en ambos nodos del servidor de administración para actualizar la contraseña.

En una configuración de replicación de OpenLDAP con OpenLDAP en un nodo que no sea el servidor de administración, asegúrate de cambiar primero la contraseña en los dos nodos de OpenLDAP y, luego, en los dos nodos del servidor de administración.

Restablecer la contraseña del administrador del sistema

Para restablecer la contraseña de administrador del sistema, debes restablecerla en dos lugares:

  • Servidor de administración
  • IU

Advertencia: Debes detener la IU de Edge antes de restablecer la contraseña de administrador del sistema. Debido a que primero restableces la contraseña en el servidor de administración, puede haber un período corto en el que la IU aún use la contraseña anterior. Si la IU realiza más de tres llamadas con la contraseña anterior, el servidor de OpenLDAP bloquea la cuenta de administrador del sistema durante tres minutos.

Para restablecer la contraseña del administrador del sistema, haz lo siguiente:

  1. En el nodo de IU, detén la IU de Edge:
    >/opt/apigee/apigee-service/bin/apigee-service Edge-ui stop
  2. En el servidor de administración, ejecuta el siguiente comando para restablecer la contraseña:
    > /opt/apigee/apigee-service/bin/apigee-service perimetral-management-server change_sysadmin_password -o currentPW -n newPW
  3. Edita el archivo de configuración silencioso que usaste para instalar la IU de Edge a fin de configurar las siguientes propiedades:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    PASSWORD=bar
    SMTPSSL=y
    {/ {/ <

  4. Usa la utilidad apigee-setup para restablecer la contraseña en la IU de Edge desde el archivo de configuración:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Solo si TLS está habilitado en la IU) Vuelve a habilitar TLS en la IU de Edge como se describe en Configura TLS para la IU de administración.

En un entorno de replicación de OpenLDAP con varios servidores de administración, restablecer la contraseña en un servidor de administración actualiza el otro de forma automática. Sin embargo, debes actualizar todos los nodos de la IU de Edge por separado.

Restablecer la contraseña de los usuarios de la organización

A fin de restablecer la contraseña para un usuario de la organización, usa la utilidad apigee-servce a fin de invocar apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Por ejemplo:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword 

A continuación, se muestra un ejemplo de archivo de configuración que puedes usar con la opción “-f”:

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword 

También puedes usar la API de Update user para cambiar la contraseña del usuario.

Reglas de contraseña de los administradores de sistemas y de los usuarios de la organización

Usa esta sección para aplicar un nivel deseado de longitud y seguridad de contraseñas a los usuarios de administración de API. En la configuración, se usa una serie de expresiones regulares preconfiguradas (y numeradas de forma única) para verificar el contenido de las contraseñas (como mayúsculas, minúsculas, números y caracteres especiales). Escribe esta configuración en el archivo /opt/apigee/customer/application/management-server.properties. Si ese archivo no existe, créalo.

Después de editar management-server.properties, reinicia el servidor de administración:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Luego, puedes establecer las calificaciones de seguridad de las contraseñas agrupando diferentes combinaciones de expresiones regulares. Por ejemplo, puedes determinar que una contraseña con al menos una letra mayúscula y una minúscula obtiene una calificación de seguridad de "3", pero que una contraseña con al menos una letra minúscula y un número obtiene una calificación de seguridad de "4".

Propiedades

Descripción

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

Úsalas para determinar las características generales de las contraseñas válidas. La calificación mínima predeterminada para la seguridad de la contraseña (que se describe más adelante en la tabla) es 3.

Ten en cuenta que password.validate.default.rating=2 es inferior a la calificación mínima requerida, lo que significa que, si una contraseña ingresada se encuentra fuera de las reglas que configuraste, la contraseña tiene una calificación de 2 y, por lo tanto, no es válida (por debajo de la calificación mínima de 3).

A continuación, se muestran expresiones regulares que identifican características de las contraseñas. Ten en cuenta que cada una está numerada. Por ejemplo, "password. validation.regex.5=..." es el número de expresión 5. Los usarás en una sección posterior del archivo para configurar diferentes combinaciones que determinen la seguridad general de la contraseña.

conf_security_password.validation.regex.1=^(.)\\1+$

1: Todos los caracteres se repiten.

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – Al menos una letra minúscula

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – Al menos una letra mayúscula

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – Al menos un dígito

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – Al menos un carácter especial (sin incluir guion bajo _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – Al menos un guion bajo

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7: más de una letra minúscula

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8: Más de una letra mayúscula

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – Más de un dígito

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – Más de un carácter especial (sin incluir guion bajo)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11: Más de un guion bajo

Las siguientes reglas determinan la seguridad de las contraseñas en función del contenido de estas. Cada regla incluye una o más expresiones regulares de la sección anterior y le asigna una seguridad numérica. La seguridad numérica de una contraseña se compara con el número conf_security_password.validation.minimum.rating.required en la parte superior de este archivo para determinar si una contraseña es válida o no.

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,Y,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

Cada regla está numerada. Por ejemplo, “password. validation.rule.3=...” es la regla número 3.

Cada regla utiliza el siguiente formato (a la derecha del signo igual):

<regex-index-list>,<AND|OR>,<rating>

regex-index-list es la lista de expresiones regulares (por número de la sección anterior), junto con un operador AND|OR (es decir, considerar todas o cualquiera de las expresiones enumeradas).

rating es la calificación de solidez numérica que se le da a cada regla.

Por ejemplo, la regla 5 significa que cualquier contraseña con al menos un carácter especial O un guion bajo obtiene una calificación de seguridad de 4. Con password.validation.minimum.
rating.required=3 en la parte superior del archivo, significa que una contraseña con calificación 4 es válida.

conf_security_rbac.password.validation.enabled=true

Establece la validación de contraseñas de control de acceso basado en funciones como falsa cuando el inicio de sesión único (SSO) esté habilitado. El valor predeterminado es verdadero.

Restableciendo la contraseña de Cassandra

De forma predeterminada, Cassandra realiza el envío con la autenticación inhabilitada. Si habilitas la autenticación, se usa un usuario predefinido llamado 'cassandra” con la contraseña “'cassandra”. Puedes usarla, establecer una contraseña diferente o crear un usuario de Cassandra nuevo. Agrega, quita y modifica usuarios mediante las instrucciones CREATE/ALTER/DROP USER de Cassandra.

Para obtener información sobre cómo habilitar la autenticación de Cassandra, consulta Cómo habilitar la autenticación de Cassandra.

Para restablecer la contraseña de Cassandra, debes hacer lo siguiente:

  • Establece la contraseña en cualquier nodo de Cassandra y se transmitirá a todos los nodos de Cassandra del anillo
  • Actualiza el servidor de administración, los procesadores de mensajes, los routers, los servidores Qpid, los servidores Postgres y la pila BaaS en cada nodo con la contraseña nueva.

Para obtener más información, consulta http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Para restablecer la contraseña de Cassandra:

  1. Accede a cualquier nodo de Cassandra con la herramienta cqlsh y las credenciales predeterminadas. Solo tienes que cambiar la contraseña en un nodo de Cassandra y se transmitirá a todos los nodos de Cassandra en el anillo:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Donde:
    • cassIP es la dirección IP del nodo de Cassandra.
    • 9042 es el puerto de Cassandra.
    • El usuario predeterminado es cassandra.
    • La contraseña predeterminada es cassandra. Si ya cambiaste la contraseña, usa la actual.
  2. Ejecuta el siguiente comando como mensaje de cqlsh> para actualizar la contraseña:
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Si la nueva contraseña contiene un carácter de comillas simples, escáplalo precedido de un solo carácter de comillas.
  3. Sal de la herramienta cqlsh:
    cqlsh> exit
  4. En el nodo del servidor de administración de administradores, ejecuta el siguiente comando:
    > /opt/apigee/apigee-service/bin/apigee-service perímetro-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD


    De forma opcional, puedes pasar un archivo al comando que contiene el comando store-PASf.





  5. Repite el paso 4 en las siguientes instancias:
    • Todos los procesadores de mensajes
    • Todos los routers
    • Todos los servidores de Qpid (edge-qpid-server)
    • Servidores de Postgres (edge-postgres-server)
  6. En el nodo de pila de BaaS para la versión 4.16.05.04 y posteriores, haz lo siguiente:
    1. Ejecuta el siguiente comando para generar una contraseña encriptada:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Este comando te solicita la contraseña de texto sin formato y muestra la contraseña encriptada con el formato:
      SECURE:ae1b6dedbf6b26aaab8bee815a9
    2. Configura los siguientes tokens en /opt/apigee/customer/application/usergrid.properties. Si ese archivo no existe, créalo:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e4

      Si cambiaste el nombre de usuario, configura el valor de usergrid-deployment_cassandra.username según corresponda.

      Asegúrate de incluir el prefijo “SEGURE:” en la contraseña. De lo contrario, la pila BaaS interpretará el valor como no encriptado.

      Nota: Cada nodo de pila de BaaS tiene su propia clave única que se usa para encriptar la contraseña. Por lo tanto, debes generar el valor encriptado en cada nodo de pila de BaaS por separado.
    3. Cambia la propiedad del archivo usergrid.properties al usuario “apigee”:
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Configura el nodo de pila:
      >/opt/apigee/apigee-service/bin/apigee-service baas-usergrid configurar
    5. Reinicia la pila de BaaS:
      >/opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. Repite estos pasos para todos los asentos de pila de BaaS.

Se cambió la contraseña de Cassandra.

Restableciendo contraseña de PostgreSQL

Según la configuración predeterminada, la base de datos de PostgreSQL tiene dos usuarios definidos: “postgres” y “apigee”. Ambos usuarios tienen la contraseña predeterminada “postgres”. Usa el siguiente procedimiento para cambiar la contraseña predeterminada.

Cambia la contraseña en todos los nodos principales de Postgres. Si tienes dos servidores Postgres configurados en modo principal/en espera, solo tienes que cambiar la contraseña en el nodo principal. Consulta Configura la replicación de Master-Standby para Postgres a fin de obtener más información.

  1. En el nodo Postgres de la instancia principal, cambia el directorio a /opt/apigee/apigee-postgresql/pgsql/bin.
  2. Configura la contraseña de usuario “postgres” de PostgreSQL:
    1. Accede a la base de datos de PostgreSQL con el comando:
      >psp -h localhost -d apigee -U postgres
    2. Cuando se te solicite, ingresa la contraseña de usuario 'postgres' como 'postgres'.
    3. En el símbolo del sistema de PostgreSQL, ingresa el siguiente comando para cambiar la contraseña predeterminada:
      apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234';
    4. Sal de la base de datos de PostgreSQL con el comando:
      apigee=> \q
  3. Configura la contraseña de usuario de “apigee” de PostgreSQL:
    1. Accede a la base de datos de PostgreSQL con el comando:
      >pSQL -h localhost -d apigee -U apigee
    2. Cuando se te solicite, ingresa la contraseña de usuario de “apigee” como “postgres”.
    3. En el símbolo del sistema de PostgreSQL, ingresa el siguiente comando para cambiar la contraseña predeterminada:
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
    4. Sal de la base de datos de PostgreSQL con el comando:
      apigee=> \q
  4. Configura APIGEE_HOME:
    > exportar APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Encripta la contraseña nueva:
    > sh /opt/apigee/edge-postgres-server/utils/scripts/libres/passwordgen.sh apigee1234

    Este comando muestra la contraseña encriptada como se muestra a continuación. La contraseña encriptada comienza después del carácter ":" y no incluye el ":".
    String encriptada :WheaR8U4OeMEM11erxA3Cw==
  6. Actualiza el nodo del servidor de administración con las nuevas contraseñas encriptadas para los usuarios de “postgres” y “apigee”.
    1. En el servidor de administración, cambia el directorio a /opt/apigee/customer/application.
    2. Edita el archivo management-server.properties para configurar las siguientes propiedades. Si no existe este archivo, créalo:
      Nota: Algunas propiedades toman la contraseña de usuario “postgres” encriptada y otras toman la contraseña de usuario encriptada de “apigee”.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Asegúrate de que el archivo sea propiedad del usuario de “apigee”:
      > chown apigee:apigee management-server.properties
  7. Actualiza todos los nodos de Postgres Server y Qpid Server con la nueva contraseña encriptada.
    1. En el nodo del servidor de Postgres o Qpid, cambia el directorio a /opt/apigee/customer/application.
    2. Edita los siguientes archivos. Si estos archivos no existen, créalos:
      • postgres-server.properties
      • qpid-server.properties
    3. Agrega las siguientes propiedades a los archivos:
      Nota: Todas estas propiedades usan la contraseña de usuario “postgres” encriptada.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Asegúrate de que los archivos sean propiedad del usuario de “apigee”:
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. Reinicia los siguientes componentes en este orden:
    1. Base de datos de PostgreSQL:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Servidor Qpid:
      >/opt/apigee/apigee-service/bin/apigee-service perimetral-qpid-server restart
    3. Servidor Postgres:
      >/opt/apigee/apigee-service/bin/apigee-service perimetral-postgres-server restart
    4. Management Server:
      > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server restart