Restablece las contraseñas de Edge

Edge para la nube privada v. 4.17.09

Puedes restablecer las contraseñas de OpenLDAP, el administrador del sistema de Apigee Edge, el usuario de la organización de Edge y las contraseñas de Cassandra una vez que se complete la instalación.

Restablecer la contraseña de OpenLDAP

Según la configuración de Edge, OpenLDAP se puede instalar de las siguientes maneras:

  • Una sola instancia de OpenLDAP instalada en el nodo del servidor de administración Por ejemplo, en una configuración de Edge de 2, 5 o 9 nodos.
  • Varias instancias de OpenLDAP instaladas en nodos de Management Server, configuradas con la replicación de OpenLDAP Por ejemplo, en una configuración de Edge de 12 nodos.
  • Varias instancias de OpenLDAP instaladas en sus propios nodos, configuradas con la replicación de OpenLDAP Por ejemplo, en una configuración de Edge de 13 nodos.

La forma de restablecer la contraseña de OpenLDAP depende de tu configuración.

Para una sola instancia de OpenLDAP instalada en el servidor de administración, haz lo siguiente:

  1. En el nodo del servidor de administración, ejecuta el siguiente comando para crear la nueva contraseña de OpenLDAP:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. Ejecuta el siguiente comando para almacenar la nueva contraseña para que acceda el servidor de administración:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server store_ldap_credentials -p newPword

    Este comando reinicia el servidor de administración.

En una configuración de replicación de OpenLDAP con OpenLDAP instalado en los nodos del servidor de administración, sigue los pasos anteriores en ambos nodos del servidor de administración para actualizar la contraseña.

En una configuración de replicación de OpenLDAP con OpenLDAP ubicado en un nodo que no sea el servidor de administración, asegúrate de cambiar primero la contraseña en ambos nodos de OpenLDAP y, luego, en ambos nodos del servidor de administración.

Restablece la contraseña del administrador del sistema

Para restablecer la contraseña del administrador del sistema, debes hacerlo en dos lugares:

  • Servidor de administración
  • IU

Advertencia: Debes detener la IU de Edge antes de restablecer la contraseña del administrador del sistema. Como restableciste la contraseña primero en el servidor de administración, puede haber un período breve durante el cual la IU siga usando la contraseña anterior. Si la IU realiza más de tres llamadas con la contraseña anterior, el servidor OpenLDAP bloquea la cuenta de administrador del sistema durante tres minutos.

Para restablecer la contraseña de administrador del sistema, sigue estos pasos:

  1. En el nodo de IU, detén la IU de Edge:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-ui stop
  2. En el servidor de administración, ejecuta el siguiente comando para restablecer la contraseña:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. Edita el archivo de configuración silencioso que usaste para instalar la IU de Edge a fin de establecer las siguientes propiedades:
    APIGEE_ADMINPW=newPW
    SMHOST=smtp.gmail.com
    SMHOST=smtp.gmail.com
    SMSMPORT=465
    SMUSER=foo@gmail.com
    SMSMPASSWORD=bar
    "SMTPSSL=y"
    " ubicación(es) <myco@company.com" para restablecer la contraseña <myco@company.com
  4. Usa la utilidad apigee-setup para restablecer la contraseña en la IU de Edge desde el archivo de configuración:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Solo si TLS está habilitado en la IU) Vuelve a habilitar TLS en la IU de Edge como se describe en Configuración de TLS para la IU de administración.

En un entorno de replicación de OpenLDAP con varios servidores de administración, si restableces la contraseña en un servidor de administración, se actualiza el otro servidor de administración automáticamente. Sin embargo, debes actualizar todos los nodos de la IU de Edge por separado.

Restablece la contraseña del usuario de la organización

Para restablecer la contraseña de un usuario de la organización, usa la utilidad apigee-servce para invocar a apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Por ejemplo:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

A continuación, se muestra un ejemplo de archivo de configuración que puedes usar con la opción "-f":

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

También puedes usar la API de Update user para cambiar la contraseña del usuario.

Reglas de contraseñas de usuarios del administrador de sistemas y de la organización

Usa esta sección para aplicar el nivel deseado de longitud y seguridad de la contraseña para los usuarios de administración de API. La configuración usa una serie de expresiones regulares preconfiguradas (y con números únicos) para verificar el contenido de la contraseña (como mayúsculas, minúsculas, números y caracteres especiales). Escribe esta configuración en el archivo /opt/apigee/customer/application/management-server.properties. Si ese archivo no existe, créalo.

Después de editar management-server.properties, reinicia el servidor de administración:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Luego, puedes establecer calificaciones de seguridad de las contraseñas agrupando diferentes combinaciones de expresiones regulares. Por ejemplo, puedes determinar que una contraseña con al menos una letra mayúscula y una letra minúscula obtiene una calificación de seguridad de "3", pero que una contraseña con al menos una letra minúscula y un número obtiene una calificación más alta de "4".

Propiedades

Descripción

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

Úsalas para determinar las características generales de las contraseñas válidas. La calificación mínima predeterminada para la seguridad de la contraseña (que se describe más adelante en la tabla) es 3.

Ten en cuenta que password.validation.default.rating=2 es inferior a la calificación mínima requerida, lo que significa que, si una contraseña ingresada no cumple con las reglas que configuraste, se le asigna una calificación de 2 y, por lo tanto, no es válida (por debajo de la calificación mínima de 3).

A continuación, se incluyen expresiones regulares que identifican las características de las contraseñas. Ten en cuenta que cada uno está numerado. Por ejemplo, "password.validation.regex.5=…" es la expresión número 5. Usarás estos números en una sección posterior del archivo para establecer diferentes combinaciones que determinan la seguridad general de la contraseña.

conf_security_password.validation.regex.1=^(.)\\1+$

1: Se repiten todos los caracteres.

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2: Al menos una letra en minúscula

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3: Al menos una letra mayúscula

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4: Al menos un dígito

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5: Al menos un carácter especial (sin incluir el guion bajo _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6: Al menos una línea baja

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7: Más de una letra en minúscula

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8: Más de una letra mayúscula

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9: Más de un dígito

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10: Más de un carácter especial (sin incluir el guion bajo)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11: Más de un guion bajo

Las siguientes reglas determinan la seguridad de la contraseña en función de su contenido. Cada regla incluye una o más expresiones regulares de la sección anterior y le asigna una fortaleza numérica. La fortaleza numérica de una contraseña se compara con el número conf_security_password.validation.minimum.rating.required en la parte superior de este archivo para determinar si una contraseña es válida o no.

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

Cada regla tiene un número. Por ejemplo, "password.validation.rule.3=…" es la regla número 3.

Cada regla usa el siguiente formato (a la derecha del signo igual):

<regex-index-list>,<Y|O>,<clasificación>

regex-index-list es la lista de expresiones regulares (por número de la sección anterior), junto con un operador AND|OR (es decir, considera todas o cualquiera de las expresiones enumeradas).

rating es la calificación numérica de la fortaleza que se le asigna a cada regla.

Por ejemplo, la regla 5 significa que cualquier contraseña con al menos un carácter especial O una virgulilla obtiene una calificación de seguridad de 4. Con password.validation.minimum.
rating.required=3 en la parte superior del archivo, una contraseña con calificación 4 es válida.

conf_security_rbac.password.validation.enabled=true

Establece la validación de contraseña del control de acceso basado en roles en "false" cuando el inicio de sesión único (SSO) está habilitado. La opción predeterminada es true.

Restablece la contraseña de Cassandra

De forma predeterminada, Cassandra se envía con la autenticación inhabilitada. Si habilitas la autenticación, se usa un usuario predefinido llamado 'cassandra' con una contraseña de 'cassandra'. Puedes usar esta cuenta, establecer una contraseña diferente para ella o crear un usuario de Cassandra nuevo. Agregar, quitar y modificar usuarios con las instrucciones de Cassandra CREATE/ALTER/DROP USER

Para obtener información sobre cómo habilitar la autenticación de Cassandra, consulta Habilita la autenticación de Cassandra.

Para restablecer la contraseña de Cassandra, debes hacer lo siguiente:

  • Establece la contraseña en cualquier nodo de Cassandra y se transmitirá a todos los nodos de Cassandra del anillo.
  • Actualiza el servidor de administración, los procesadores de mensajes, los routers, los servidores Qpid, los servidores Postgres y la pila de BaaS en cada nodo con la nueva contraseña.

Para obtener más información, consulta http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Para restablecer la contraseña de Cassandra, sigue estos pasos:

  1. Accede a cualquier nodo de Cassandra con la herramienta cqlsh y las credenciales predeterminadas. Solo tienes que cambiar la contraseña en un nodo de Cassandra, y se transmitirá a todos los nodos de Cassandra del anillo:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Donde:
    • cassIP es la dirección IP del nodo de Cassandra.
    • 9042 es el puerto de Cassandra.
    • El usuario predeterminado es Cassandra.
    • La contraseña predeterminada es cassandra. Si cambiaste la contraseña anteriormente, usa la contraseña actual.
  2. Ejecuta el siguiente comando como la instrucción cqlsh> para actualizar la contraseña:
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Si la contraseña nueva contiene un carácter de comillas simples, coloca un carácter de comillas simples antes de él para escaparlo.
  3. Sal de la herramienta cqlsh:
    cqlsh> exit










  4. CASS_USERNAME
  5. Repite el paso 4 en los siguientes dispositivos:
    • Todos los procesadores de mensajes
    • Todos los routers
    • Todos los servidores Qpid (edge-qpid-server)
    • Servidores Postgres (edge-postgres-server)
  6. En el nodo de pila de BaaS para la versión 4.16.05.04 y posteriores, haz lo siguiente:
    1. Ejecuta el siguiente comando para generar una contraseña encriptada:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Este comando te solicita la contraseña de texto sin formato y muestra la contraseña encriptada en el siguiente formato:
      SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. Configura los siguientes tokens en /opt/apigee/customer/application/usergrid.properties. Si ese archivo no existe, créalo:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050

      En este ejemplo, se usa el nombre de usuario predeterminado de Cassandra. Si cambiaste el nombre de usuario, establece el valor de usergrid-deployment_cassandra.username según corresponda.

      Asegúrate de incluir el prefijo "SECURE:" en la contraseña. De lo contrario, la pila de BaaS interpretará el valor como no encriptado.

      Nota: Cada nodo de pila de BaaS tiene su propia clave única que se utiliza para encriptar la contraseña. Por lo tanto, debes generar el valor encriptado en cada nodo de la pila de BaaS por separado.
    3. Cambia la propiedad del archivo usergrid.properties al usuario "apigee":
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Configura el nodo de pila:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. Reinicia la pila de BaaS:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. Repite estos pasos para todos los nodos de la pila de BaaS.

Se cambió la contraseña de Cassandra.

Restablece la contraseña de PostgreSQL

De forma predeterminada, la base de datos de PostgreSQL tiene dos usuarios definidos: “postgres” y “apigee”. Ambos usuarios tienen una contraseña predeterminada de “postgres”. Usa el siguiente procedimiento para cambiar la contraseña predeterminada.

Cambia la contraseña en todos los nodos principales de Postgres. Si tienes dos servidores de Postgres configurados en modo principal/en espera, solo debes cambiar la contraseña en el nodo principal. Consulta Configura la replicación maestra-en espera para Postgres para obtener más información.

  1. En el nodo principal de Postgres, cambia el directorio a /opt/apigee/apigee-postgresql/pgsql/bin.
  2. Establece la contraseña del usuario “postgres” de PostgreSQL:
    1. Accede a la base de datos de PostgreSQL con el comando:
      > psql -h localhost -d apigee -U postgres
    2. Cuando se te solicite, ingresa la contraseña del usuario "postgres" como "postgres".
    3. En el símbolo del sistema de PostgreSQL, ingresa el siguiente comando para cambiar la contraseña predeterminada:
      apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234';
    4. Sal de la base de datos de PostgreSQL con el comando:
      apigee=> \q
  3. Establece la contraseña del usuario "apigee" de PostgreSQL:
    1. Accede a la base de datos de PostgreSQL con el comando:
      > psql -h localhost -d apigee -U apigee
    2. Cuando se te solicite, ingresa la contraseña de usuario de “apigee” como “postgres”.
    3. En el símbolo del sistema de PostgreSQL, ingresa el siguiente comando para cambiar la contraseña predeterminada:
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
    4. Sal de la base de datos de PostgreSQL con el comando:
      apigee=> \q
  4. Establece APIGEE_HOME:
    > export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Encripta la contraseña nueva:
    > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Este comando muestra la contraseña encriptada como se muestra a continuación. La contraseña encriptada comienza después del carácter ":" y no incluye el ":".
    Cadena encriptada :WheaR8U4OeMEM11erxA3Cw==
  6. Actualiza el nodo del servidor de administración con las nuevas contraseñas encriptadas para los usuarios “postgres” y “apigee”.
    1. En el servidor de administración, cambia de directorio a /opt/apigee/customer/application.
    2. Edita el archivo management-server.properties para configurar las siguientes propiedades. Si este archivo no existe, créalo:
      Nota: Algunas propiedades toman la contraseña del usuario encriptada de 'postgres' y otras toman la contraseña del usuario encriptada de 'apigee'.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Asegúrate de que el usuario "apigee" sea el propietario del archivo:
      > chown apigee:apigee management-server.properties
  7. Actualiza todos los nodos del servidor de Postgres y del servidor de Qpid con la nueva contraseña encriptada.
    1. En el nodo del servidor Postgres o Qpid, cambia el directorio a /opt/apigee/customer/application.
    2. Edita los siguientes archivos. Si estos archivos no existen, créalos:
      • postgres-server.properties
      • qpid-server.properties
    3. Agrega las siguientes propiedades a los archivos:
      Nota: Todas estas propiedades toman la contraseña del usuario encriptada "postgres".
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Asegúrate de que los archivos sean propiedad del usuario de “apigee”:
      > chown apigee:apigee:apigee:postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. Reinicia los siguientes componentes en este orden:
    1. Base de datos de PostgreSQL:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Servidor Qpid:
      > /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Servidor de Postgres:
      > /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Servidor de administración:
      > /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart