Edge pour Private Cloud v. 4.17.09
Vous pouvez réinitialiser les mots de passe OpenLDAP, d'administrateur système Apigee Edge, d'utilisateurs de l'organisation Edge et de Cassandra une fois l'installation terminée.
Réinitialiser le mot de passe OpenLDAP
En fonction de la configuration de votre Edge, OpenLDAP peut être installé en tant que:
- Une seule instance d'OpenLDAP installée sur le nœud du serveur de gestion. Par exemple, dans une configuration Edge à deux, cinq ou neuf nœuds.
- Plusieurs instances OpenLDAP installées sur des nœuds de serveur de gestion, configurées avec une réplication OpenLDAP Par exemple, dans une configuration Edge à 12 nœuds.
- Plusieurs instances OpenLDAP installées sur leurs propres nœuds, configurées avec la réplication OpenLDAP. (par exemple, dans une configuration périphérique à 13 nœuds).
La manière dont vous réinitialisez le mot de passe OpenLDAP dépend de votre configuration.
Pour une seule instance d'OpenLDAP installée sur le serveur de gestion, procédez comme suit:
- Sur le nœud du serveur de gestion, exécutez la commande suivante pour créer le nouveau mot de passe OpenLDAP:
> /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword - Exécutez la commande suivante pour stocker le nouveau mot de passe d'accès du serveur de gestion:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword
Cette commande redémarre le serveur de gestion.
Dans une configuration de réplication OpenLDAP avec OpenLDAP installé sur des nœuds du serveur de gestion, suivez les étapes ci-dessus sur les deux nœuds du serveur de gestion pour mettre à jour le mot de passe.
Dans une configuration de réplication OpenLDAP où OpenLDAP se trouve sur un nœud autre que le serveur de gestion, veillez à modifier d'abord le mot de passe sur les deux nœuds OpenLDAP, puis sur les deux nœuds du serveur de gestion.
Réinitialiser le mot de passe de l'administrateur système
Pour réinitialiser le mot de passe administrateur du système, vous devez le faire à deux endroits:
- Serveur de gestion
- UI
Avertissement: Vous devez arrêter l'interface utilisateur Edge avant de réinitialiser le mot de passe administrateur du système. Étant donné que vous avez d'abord réinitialisé le mot de passe sur le serveur de gestion, il peut y avoir une courte période pendant laquelle l'UI utilise toujours l'ancien mot de passe. Si l'UI effectue plus de trois appels à l'aide de l'ancien mot de passe, le serveur OpenLDAP bloque le compte administrateur système pendant trois minutes.
Pour réinitialiser le mot de passe de l'administrateur système:
- Sur le nœud d'interface utilisateur, arrêtez l'interface utilisateur Edge:
> /opt/apigee/apigee-service/bin/apigee-service Edge-ui stop - Sur le serveur de gestion, exécutez la commande suivante pour réinitialiser le mot de passe:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW - Modifiez le fichier de configuration silencieuse que vous avez utilisé pour installer l'interface utilisateur Edge pour définir les propriétés suivantes:
APIGEE_ADMINPW=newPW
SMTPHOST=smtp.gmail.com
SMTPPORT=465
SMTPUSER=foo@gmail.com
SMTPPASSWORD=bar
SMTPSSL=y
SMTPFROM="Mon entreprise <mon entreprise <mon_entreprise.com>" comprend les propriétés SMTP - Utilisez l'utilitaire apigee-setup pour réinitialiser le mot de passe dans l'interface utilisateur Edge à partir du fichier de configuration:
> /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile - (Uniquement si TLS est activé sur l'interface utilisateur) Réactivez TLS sur l'interface utilisateur Edge comme décrit dans la section Configurer TLS pour l'interface utilisateur de gestion.
Dans un environnement de réplication OpenLDAP comprenant plusieurs serveurs de gestion, la réinitialisation du mot de passe d'un serveur de gestion met automatiquement à jour l'autre serveur de gestion. Cependant, vous devez mettre à jour tous les nœuds d'interface utilisateur Edge séparément.
Réinitialiser le mot de passe utilisateur de l'organisation
Pour réinitialiser le mot de passe d'un utilisateur d'une organisation, utilisez l'utilitaire apigee-service pour appeler apigee-setup:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
Exemple :
> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword
Vous trouverez ci-dessous un exemple de fichier de configuration que vous pouvez utiliser avec l'option "-f" :
USER_NAME= user@myCo.com USER_PWD= "foo12345" APIGEE_ADMINPW= adminPword
Vous pouvez également utiliser l'API Update user (Mettre à jour l'utilisateur) pour modifier le mot de passe de l'utilisateur.
Règles concernant les mots de passe des administrateurs système et des utilisateurs de l'organisation
Utilisez cette section pour appliquer un niveau de longueur et de sécurité de mot de passe souhaité pour vos utilisateurs de gestion d'API. Les paramètres utilisent une série d'expressions régulières préconfigurées (et numérotées de manière unique) pour vérifier le contenu des mots de passe (majuscules, minuscules, chiffres et caractères spéciaux, par exemple). Écrivez ces paramètres dans le fichier /opt/apigee/customer/application/management-server.properties. Si ce fichier n'existe pas, créez-le.
Après avoir modifié management-server.properties, redémarrez le serveur de gestion:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Vous pouvez ensuite définir le niveau de sécurité du mot de passe en regroupant différentes combinaisons d'expressions régulières. Par exemple, vous pouvez déterminer qu'un mot de passe comportant au moins une lettre majuscule et une lettre minuscule obtient un niveau de sécurité de "3", mais qu'un mot de passe comportant au moins une lettre minuscule et un chiffre obtient une note de niveau "4".
Propriétés |
Description |
---|---|
conf_security_password.validation.minimum. conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum. |
Utilisez-les pour déterminer les caractéristiques générales des mots de passe valides. La note minimale par défaut de la force du mot de passe (décrite plus loin dans le tableau) est de 3. Notez que la valeur password.validation.default.rating=2 est inférieure à la note minimale requise, ce qui signifie que si un mot de passe saisi ne respecte pas les règles que vous configurez, il est noté 2 et est donc non valide (inférieur à la note minimale de 3). |
Voici des expressions régulières qui identifient les caractéristiques des mots de passe. Notez que chacun d'eux est numéroté. Par exemple, "password.validation.regex.5=…" correspond à l'expression 5. Vous utiliserez ces nombres dans une section ultérieure du fichier pour définir différentes combinaisons qui détermineront la force globale du mot de passe. |
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1 : tous les caractères sont répétés |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2 : au moins une lettre minuscule |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3 : au moins une lettre majuscule |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4 : au moins un chiffre |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5 : au moins un caractère spécial (à l'exception du trait de soulignement _) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6 : au moins un trait de soulignement |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7 : plusieurs lettres minuscules |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8 : plus d'une lettre majuscule |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9 : plus d'un chiffre |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10 : plusieurs caractères spéciaux (à l'exception du trait de soulignement) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11 : plusieurs traits de soulignement |
Les règles suivantes déterminent le niveau de sécurité du mot de passe en fonction de son contenu. Chaque règle inclut une ou plusieurs expressions régulières de la section précédente et lui attribue une force numérique. La force numérique d'un mot de passe est comparée au nombre conf_security_password.validation.minimum.rating.required en haut de ce fichier pour déterminer si un mot de passe est valide ou non. |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
Chaque règle est numérotée. Par exemple, "password.validation.rule.3=..." correspond à la règle numéro 3. Chaque règle utilise le format suivant (à droite du signe égal): <regex-index-list>,<AND|OR>,<rating> regex-index-list est la liste des expressions régulières (par numéro de la section précédente), avec un opérateur AND|OR (c'est-à-dire, considérer toutes les expressions listées ou certaines d'entre elles). rating est la note numérique du niveau de sécurité attribuée à chaque règle. Par exemple, la règle 5 signifie que tout mot de passe contenant au moins un caractère spécial OU un trait de soulignement reçoit une note de sécurité de 4. Avec password.validation.minimum. |
conf_security_rbac.password.validation.enabled=true |
Définissez la validation du mot de passe du contrôle des accès basé sur les rôles sur "false" lorsque l'authentification unique (SSO) est activée. La valeur par défaut est "true". |
Réinitialiser le mot de passe Cassandra
Par défaut, Cassandra est fourni avec l'authentification désactivée. Si vous activez l'authentification, un utilisateur prédéfini nommé cassandra et dont le mot de passe est cassandra est utilisé. Vous pouvez utiliser ce compte, définir un autre mot de passe pour ce compte ou créer un autre utilisateur Cassandra. Ajoutez, supprimez et modifiez des utilisateurs à l'aide des instructions CREATE/ALTER/DROP USER de Cassandra.
Pour savoir comment activer l'authentification Cassandra, consultez Activer l'authentification Cassandra.
Pour réinitialiser le mot de passe Cassandra, procédez comme suit:
- Définissez le mot de passe sur un nœud Cassandra, et il sera diffusé sur tous les nœuds Cassandra de l'anneau.
- Mettez à jour le serveur de gestion, les processeurs de messages, les routeurs, les serveurs Qpid, les serveurs Postgres et la pile BaaS sur chaque nœud avec le nouveau mot de passe.
Pour en savoir plus, consultez http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.
Pour réinitialiser le mot de passe Cassandra:
- Connectez-vous à un nœud Cassandra à l'aide de l'outil cqlsh et des identifiants par défaut. Il vous suffit de modifier le mot de passe sur un seul nœud Cassandra. Il sera diffusé sur tous les nœuds Cassandra du cluster:
> /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
Où :- cassIP est l'adresse IP du nœud Cassandra.
- 9042 est le port Cassandra.
- L'utilisateur par défaut est cassandra.
- Le mot de passe par défaut est cassandra. Si vous avez modifié le mot de passe précédemment, utilisez le mot de passe actuel.
- Exécutez la commande suivante en tant qu'invite cqlsh> pour mettre à jour le mot de passe:
cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
Si le nouveau mot de passe contient un seul caractère guillemet, échappez-le en le précédant d'un seul caractère guillemet. - Quittez l'outil cqlsh:
cqlsh>exit
CASS_USERNAME- Répétez l'étape 4 pour :
- Tous les processeurs de messages
- Tous les routeurs
- Tous les serveurs Qpid (edge-qpid-server)
- Serveurs Postgres (edge-postgres-server)
- Sur le nœud de la pile BaaS pour la version 4.16.05.04 et les versions ultérieures :
- Exécutez la commande suivante pour générer un mot de passe chiffré:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password
Cette commande vous invite à saisir le mot de passe en texte brut et renvoie le mot de passe chiffré sous la forme suivante:
SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050 - Définissez les jetons suivants dans /opt/apigee/customer/application/usergrid.properties.
Si ce fichier n'existe pas, créez-le:
usergrid-deployment_cassandra.username=cassandra
usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
Cet exemple utilise le nom d'utilisateur par défaut de Cassandra. Si vous avez modifié le nom d'utilisateur, définissez la valeur de usergrid-deployment_cassandra.username en conséquence.
Veillez à inclure le préfixe SECURE: au mot de passe. Sinon, la pile BaaS interprète la valeur comme non chiffrée.
Remarque: Chaque nœud de la pile BaaS dispose de sa propre clé unique utilisée pour chiffrer le mot de passe. Par conséquent, vous devez générer la valeur chiffrée sur chaque nœud de la pile BaaS séparément. - Attribuez la propriété du fichier usergrid.properties à l'utilisateur "apigee" :
> chown apigee:apigee /opt/apigee/customer/application/usergrid.properties - Configurez le nœud de pile:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure - Redémarrez la pile BaaS:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart - Répétez ces étapes pour tous les nœuds de la pile BaaS.
- Exécutez la commande suivante pour générer un mot de passe chiffré:
Le mot de passe Cassandra a été modifié.
Réinitialiser le mot de passe PostgreSQL
Par défaut, la base de données PostgreSQL comporte deux utilisateurs définis: "postgres" et "apigee". Le mot de passe par défaut des deux utilisateurs est "postgres". Pour modifier le mot de passe par défaut, procédez comme suit :
Modifiez le mot de passe sur tous les nœuds principaux Postgres. Si vous avez configuré deux serveurs Postgres en mode maître/en attente, vous n'avez qu'à modifier le mot de passe sur le nœud maître. Pour en savoir plus, consultez Configurer la réplication maître-nœud de secours pour Postgres.
- Sur le nœud Postgres maître, remplacez le répertoire par /opt/apigee/apigee-postgresql/pgsql/bin.
- Définissez le mot de passe de l'utilisateur "postgres" PostgreSQL :
- Connectez-vous à la base de données PostgreSQL à l'aide de la commande:
> psql -h localhost -d apigee -U postgres - Lorsque vous y êtes invité, saisissez le mot de passe de l'utilisateur "postgres" en tant que "postgres".
- Dans l'invite de commande PostgreSQL, saisissez la commande suivante pour modifier le mot de passe par défaut:
apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234'; - Quittez la base de données PostgreSQL à l'aide de la commande:
apigee=> \q
- Connectez-vous à la base de données PostgreSQL à l'aide de la commande:
- Définissez le mot de passe de l'utilisateur "apigee" PostgreSQL :
- Connectez-vous à la base de données PostgreSQL à l'aide de la commande:
> psql -h localhost -d apigee -U apigee - Lorsque vous y êtes invité, saisissez le mot de passe de l'utilisateur "apigee" en tant que "postgres".
- À l'invite de commande PostgreSQL, saisissez la commande suivante pour modifier le mot de passe par défaut:
apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234'; - Quittez la base de données PostgreSQL à l'aide de la commande suivante:
apigee=> \q
- Connectez-vous à la base de données PostgreSQL à l'aide de la commande:
- Définissez APIGEE_HOME:
> export APIGEE_HOME=/opt/apigee/edge-postgres-server - Chiffrez le nouveau mot de passe:
> sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
Cette commande renvoie le mot de passe chiffré comme indiqué ci-dessous. Le mot de passe chiffré commence après le caractère : et n'inclut pas le :.
Chaîne chiffrée :WheaR8U4OeMEM11erxA3Cw== - Mettez à jour le nœud du serveur de gestion avec les nouveaux mots de passe chiffrés pour les utilisateurs "postgres" et "apigee".
- Sur le serveur de gestion, accédez au répertoire /opt/apigee/customer/application.
- Modifiez le fichier management-server.properties pour définir les propriétés suivantes. Si ce fichier n'existe pas, créez-le:
Remarque: Certaines propriétés utilisent le mot de passe utilisateur chiffré "postgres", et d'autres le mot de passe utilisateur chiffré "apigee".- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- Assurez-vous que le fichier appartient à l'utilisateur "apigee" :
> chown apigee:apigee management-server.properties
- Mettez à jour tous les nœuds Postgres Server et Qpid Server avec le nouveau mot de passe chiffré.
- Sur le nœud du serveur Postgres ou du serveur Qpid, accédez au répertoire /opt/apigee/customer/application.
- Modifiez les fichiers suivants. Si ces fichiers n'existent pas, créez-les :
- postgres-server.properties
- qpid-server.properties
- Ajoutez les propriétés suivantes aux fichiers:
Remarque: Toutes ces propriétés prennent le mot de passe utilisateur chiffré "postgres".- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- Assurez-vous que les fichiers appartiennent à l'utilisateur "apigee" :
> chown apigee:apigee postgres-server.properties
> chown apigee:apigee qpid-server.properties
- Redémarrez les composants suivants dans l'ordre suivant :
- Base de données PostgreSQL:
> /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart - Serveur Qpid:
> /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart - Serveur Postgres:
> /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart - Serveur de gestion:
> /opt/apigee/apigee-service/bin/apigee-service Edge-management-server restart
- Base de données PostgreSQL: