איפוס סיסמאות קצה

Edge for Private Cloud גרסה 4.17.09

לאחר השלמת ההתקנה, אפשר לאפס את מנהל המערכת של OpenLDAP, Apigee Edge, המשתמש בארגון של Edge ואת הסיסמאות של Cassandra.

איפוס הסיסמה ל-OpenLDAP

בהתאם להגדרות של Edge, אפשר להתקין את OpenLDAP בתור:

  • מופע יחיד של OpenLDAP שמותקן בצומת של שרת הניהול. לדוגמה, בהגדרה של Edge עם 2 צמתים, 5 צמתים או 9 צמתים.
  • כמה מכונות OpenLDAP שמותקנות בצמתים של שרת הניהול, שמוגדרות עם שכפול של OpenLDAP. לדוגמה, בהגדרה של Edge עם 12 צמתים.
  • כמה מכונות OpenLDAP שמותקנות בצמתים משלהם, שמוגדרות עם שכפול של OpenLDAP. לדוגמה, בהגדרה של Edge עם 13 צמתים.

הדרך לאפס את הסיסמה של OpenLDAP תלויה בהגדרות שלכם.

למכונה אחת של OpenLDAP שמותקנת בשרת הניהול, מבצעים את הפעולות הבאות:

  1. בצומת של שרת הניהול, מריצים את הפקודה הבאה כדי ליצור את הסיסמה החדשה של OpenLDAP:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. מריצים את הפקודה הבאה כדי לאחסן את הסיסמה החדשה לצורך הגישה של שרת הניהול:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword

    הפקודה הזו מפעילה מחדש את שרת הניהול.

בהגדרת רפליקציה של OpenLDAP עם OpenLDAP מותקן בצמתים של שרת הניהול, פועלים לפי השלבים שלמעלה בשני הצמתים של שרת הניהול כדי לעדכן את הסיסמה.

בהגדרת רפליקציה של OpenLDAP כאשר OpenLDAP נמצא בצומת שאינו שרת הניהול, חשוב לשנות קודם את הסיסמה בשני הצמתים של OpenLDAP, ואז בשני הצמתים של שרת הניהול.

איפוס הסיסמה של האדמין המערכתי

כדי לאפס את סיסמת האדמין של המערכת, צריך לאפס את הסיסמה בשני מקומות:

  • שרת ניהול
  • ממשק משתמש

אזהרה: צריך להפסיק את ממשק המשתמש של Edge לפני שמאפסים את הסיסמה של אדמין המערכת. מכיוון שמתחילים לאפס את הסיסמה בשרת הניהול, יכול להיות שיהיה פרק זמן קצר שבו בממשק המשתמש עדיין תהיה שימוש בסיסמה הישנה. אם ממשק המשתמש מבצע יותר משלוש קריאות באמצעות הסיסמה הישנה, שרת OpenLDAP נועל את חשבון האדמין של המערכת למשך שלוש דקות.

כדי לאפס את הסיסמה של אדמין המערכת:

  1. בצומת של ממשק המשתמש, מפסיקים את ממשק המשתמש של Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. בשרת הניהול, מריצים את הפקודה הבאה כדי לאפס את הסיסמה:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. עורכים את קובץ התצורה השקט שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את המאפיינים הבאים:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPpassword=bar
    SMTP Note=y
    כולל מאפייני SMTP>My Company

  4. משתמשים בכלי apigee-setup כדי לאפס את הסיסמה בממשק המשתמש של Edge מקובץ התצורה:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (רק אם TLS מופעל בממשק המשתמש) מפעילים מחדש את TLS בממשק המשתמש של Edge, כפי שמתואר בקטע הגדרת TLS לממשק המשתמש לניהול.

בסביבת רפליקציה של OpenLDAP עם כמה שרתי ניהול, איפוס הסיסמה בשרת ניהול אחד מעדכן את שרת הניהול השני באופן אוטומטי. עם זאת, צריך לעדכן בנפרד את כל הצמתים של ממשק המשתמש של Edge.

איפוס סיסמת המשתמש בארגון

כדי לאפס את הסיסמה של משתמש בארגון, משתמשים בכלי apigee-servce כדי להפעיל את apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

לדוגמה:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

בהמשך מוצג קובץ תצורה לדוגמה שאפשר להשתמש בו עם האפשרות '-f':

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

אפשר גם להשתמש ב-API של עדכון משתמש כדי לשנות את הסיסמה של המשתמש.

כללי סיסמאות של משתמשים בארגון ומנהלי מערכת

בקטע הזה אפשר לאכוף את אורך הסיסמה ואת חוזק הסיסמה הרצויים למשתמשים בניהול ה-API. ההגדרות משתמשות בסדרה של ביטויים רגולריים שהוגדרו מראש (וממוספרים באופן ייחודי) כדי לבדוק את תוכן הסיסמה (כמו אותיות רישיות, אותיות קטנות, מספרים ותווים מיוחדים). כותבים את ההגדרות האלה בקובץ /opt/apigee/customer/application/management-server.properties. אם הקובץ הזה לא קיים, יוצרים אותו.

אחרי העריכה של management-server.properties, מפעילים מחדש את שרת הניהול:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

לאחר מכן תוכלו להגדיר דירוגים של חוזק הסיסמאות על ידי קיבוץ של שילובים שונים של ביטויים רגולריים. לדוגמה, אפשר לקבוע שסיסמה עם אות גדולה אחת לפחות ואות קטנה אחת לפחות תקבל דירוג חוזק של 3, אבל סיסמה עם אות קטנה אחת לפחות ומספר אחד תקבל דירוג חוזק גבוה יותר של 4.

נכסים

תיאור

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

אפשר להשתמש בהם כדי לקבוע את המאפיינים הכוללים של סיסמאות תקינות. דירוג החוזק המינימלי של הסיסמה שמוגדר כברירת מחדל (מתואר בהמשך בטבלה) הוא 3.

שימו לב שהערך של password.validation.default.rating=2 נמוך מהדירוג המינימלי הנדרש. כלומר, אם סיסמה שהוזנה לא עומדת בכללים שהגדרתם, הדירוג שלה הוא 2 ולכן היא לא חוקית (הדירוג המינימלי הנדרש הוא 3).

אלה ביטויים רגולריים שמזהים מאפיינים של סיסמאות. חשוב לשים לב שכל ערך ממוספר. לדוגמה, 'password.validation.regex.5=‎…' הוא הביטוי מספר 5. תשתמשו במספרים האלה בקטע מאוחר יותר בקובץ כדי להגדיר שילובים שונים שקובעים את חוזק הסיסמה הכולל.

conf_security_password.validation.regex.1=^(.)‎\\1+$

1 – כל התווים חוזרים

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – לפחות אות קטנה אחת

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – לפחות אות גדולה אחת

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – לפחות ספרה אחת

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – לפחות תו מיוחד אחד (לא כולל קו תחתון _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – לפחות קו תחתון אחד

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 – יותר מאות קטנה אחת

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – יותר מאות אחת גדולה

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – יותר ממספרה אחת

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – יותר מתו מיוחד אחד (לא כולל קו תחתון)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – יותר מקו תחתון אחד

הכללים הבאים קובעים את חוזק הסיסמה על סמך תוכן הסיסמה. כל כלל כולל ביטוי רגולרי אחד או יותר מהקטע הקודם ומקצה לו עוצמה מספרית. חוזק הסיסמה המספרי מושווה למספר conf_security_password.validation.minimum.rating.required בחלק העליון של הקובץ כדי לקבוע אם הסיסמה תקינה או לא.

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

כל כלל ממוספר. לדוגמה, כלל מספר 3 הוא password.verificationation.rule.3=... .

כל כלל מופיע בפורמט הבא (שמאל לסימן השוויון):

<regex-index-list>,<AND|OR>,<rating>

regex-index-list הוא רשימת הביטויים הרגולריים (לפי מספר מהקטע הקודם), יחד עם האופרטור AND|OR (כלומר, יש לקחת בחשבון את כל הביטויים המפורטים או את כולם).

rating הוא הדירוג המספרי של החוזק שניתן לכל כלל.

לדוגמה, כלל 5 אומר שכל סיסמה עם תו מיוחד אחד לפחות או עם קו תחתון אחד מקבלת דירוג חוזק של 4. באמצעות password.validation.minimum.
rating.required=3 בחלק העליון של הקובץ, סיסמה עם דירוג 4 תקפה.

conf_security_rbac.password.validation.enabled=true

צריך להגדיר את אימות הסיסמה של בקרת הגישה מבוססת-התפקיד כ-FALSE כשכניסה יחידה (SSO) מופעלת. ברירת המחדל היא true.

איפוס הסיסמה של Cassandra

כברירת מחדל, אימות מושבת ב-Cassandra. אם מפעילים אימות, המערכת משתמשת במשתמש מוגדר מראש בשם 'cassandra' עם הסיסמה 'cassandra'. אפשר להשתמש בחשבון הזה, להגדיר לו סיסמה אחרת או ליצור משתמש חדש ב-Cassandra. אפשר להוסיף, להסיר ולשנות משתמשים באמצעות הצהרות המשתמש CREATE/ALTER/DROP של Cassandra.

מידע נוסף על הפעלת אימות ב-Cassandra זמין במאמר הפעלת אימות ב-Cassandra.

כדי לאפס את הסיסמה של Cassandra, צריך:

  • מגדירים את הסיסמה בכל צומת של Cassandra, והיא תשודר לכל הצמתים של Cassandra
  • מעדכנים את שרת הניהול, מעבדי הודעות, נתבים, שרתי Qpid, שרתי Postgres ו-BaaS Stack בכל צומת עם הסיסמה החדשה.

מידע נוסף זמין בכתובת http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

כדי לאפס את הסיסמה של Cassandra:

  1. מתחברים לצומת אחד של Cassandra באמצעות הכלי cqlsh ופרטי הכניסה שמוגדרים כברירת מחדל. צריך לשנות את הסיסמה רק בצומת אחד של Cassandra, והיא תשודר לכל הצמתים של Cassandra ב-ring:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    כאשר:
    • cassIP היא כתובת ה-IP של צומת Cassandra.
    • 9042 היא היציאה של Cassandra.
    • שם המשתמש שמוגדר כברירת מחדל הוא cassandra.
    • סיסמת ברירת המחדל היא cassandra. אם שיניתם את הסיסמה בעבר, צריך להשתמש בסיסמה הנוכחית.
  2. מריצים את הפקודה הבאה בתור הנחיית cqlsh> כדי לעדכן את הסיסמה:
    cqlsh> ALTER USER cassandra WITH password 'NEW_PASSWORD';

    אם הסיסמה החדשה מכילה תו מירכאות בודדות, מסמנים בתו בריחה (escape) אותה לפניה.
  3. יוצאים מהכלי cqlsh:
    cqlsh> exit
  4. בצומת של שרת הניהול, מריצים את הפקודה הבאה:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    אופציונלי: אפשר להעביר לפקודה קובץ שמכיל את שם המשתמש והסיסמה החדשים:
    > apigee-service edge-management-server store_cassandra_credentials -f configFile

    בקובץ configFile צריך להופיע הקטע הבא:
    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD

    הפקודה הזו מפעילה מחדש את שרת הניהול באופן אוטומטי.
  5. חוזרים על שלב 4 עם הפעולות הבאות:
    • כל מעבדי ההודעות
    • כל הנתב
    • כל שרתי Qpid‏ (edge-qpid-server)
    • שרתי Postgres‏ (edge-postgres-server)
  6. בצומת BaaS Stack לגרסה 4.16.05.04 ואילך:
    1. מריצים את הפקודה הבאה כדי ליצור סיסמה מוצפנת:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      הפקודה הזו מבקשת את הסיסמה בטקסט ללא הצפנה ומחזירה את הסיסמה המוצפנת בפורמט:
      SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. מגדירים את האסימונים הבאים בקובץ /opt/apigee/customer/application/usergrid.properties. אם הקובץ הזה לא קיים, יוצרים אותו:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050

      בדוגמה הזו נעשה שימוש בשם המשתמש שמוגדר כברירת מחדל ב-Cassandra. אם שיניתם את שם המשתמש, צריך להגדיר את הערך של usergrid-deployment_cassandra.username בהתאם.

      חשוב לכלול את הקידומת SECURE: בסיסמה. אחרת, הערך יפורש על ידי BaaS Stack כערך ללא הצפנה.

      הערה: לכל צומת של BaaS Stack יש מפתח ייחודי משלו שמשמש להצפנת הסיסמה. לכן, צריך ליצור את הערך המוצפן בנפרד בכל צומת של BaaS Stack.
    3. משנים את הבעלות על הקובץ usergrid.properties למשתמש 'apigee':
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. מגדירים את צומת המקבץ:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid בתהליך
    5. מפעילים מחדש את סטאק BaaS:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. חוזרים על השלבים האלה לכל הצמתים (nodes) של BaaS Stack.

הסיסמה של Cassandra השתנתה.

איפוס הסיסמה ל-PostgreSQL

כברירת מחדל, במסד הנתונים של PostgreSQL מוגדרים שני משתמשים: 'postgres' ו-'apigee'. סיסמת ברירת המחדל של שני המשתמשים היא 'postgres'. באמצעות התהליך הבא אפשר לשנות את סיסמת ברירת המחדל.

שינוי הסיסמה בכל הצמתים הראשיים ב-Postgres. אם יש לכם שני שרתי Postgres שהוגדרו במצב master/standby, צריך לשנות את הסיסמה רק בצומת master. מידע נוסף זמין במאמר הגדרת רפליקציה של Master-Standby ל-Postgres.

  1. בצומת Master Postgres, משנים את הספרייה ל-/opt/apigee/apigee-postgresql/pgsql/bin.
  2. מגדירים את הסיסמה של משתמש 'postgres' ב-PostgreSQL:
    1. מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
      > psql -h localhost -d apigee -U postgres
    2. כשמתבקשים, מזינים את הסיסמה של המשתמש 'postgres' כ-'postgres'.
    3. בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את סיסמת ברירת המחדל:
      apigee=> ALTER USER postgres WITH password 'apigee1234';
    4. יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה:
      apigee=> \q
  3. מגדירים את הסיסמה של משתמש 'apigee' ב-PostgreSQL:
    1. מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
      > psql -h localhost -d apigee -U apigee
    2. כשמופיעה בקשה, מזינים את סיסמת המשתמש 'apigee' בתור 'postgres'.
    3. בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את סיסמת ברירת המחדל:
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
    4. יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה:
      apigee=> \q
  4. מגדירים את APIGEE_HOME:
    > export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. מצפינים את הסיסמה החדשה:
    > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    הפקודה הזו מחזירה את הסיסמה המוצפנת כפי שמוצג בהמשך. הסיסמה המוצפנת מתחילה אחרי התו ":" והיא לא כוללת את ":".
    מחרוזת מוצפנת :WheaR8U4OeMEM11erxA3Cw==
  6. מעדכנים את הצומת של שרת הניהול בסיסמאות המוצפנות החדשות למשתמשי Postgres ו-apigee.
    1. בשרת הניהול, משנים את הספרייה ל-/opt/apigee/customer/application.
    2. עורכים את הקובץ management-server.properties כדי להגדיר את המאפיינים הבאים. אם הקובץ הזה לא קיים, יוצרים אותו:
      הערה: מאפיינים מסוימים מקבלים את סיסמת המשתמש המוצפנת postgres, וחלק מקבלים את סיסמת המשתמש המוצפנת 'apigee'.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. מוודאים שהקובץ בבעלות המשתמש 'apigee':
      > chown apigee:apigee management-server.properties
  7. מעדכנים את הסיסמה החדשה המוצפנת בכל הצמתים של שרת Postgres ושל שרת Qpid.
    1. בצומת של שרת Postgres או של שרת Qpid, עוברים לספרייה /opt/apigee/customer/application.
    2. עורכים את הקבצים הבאים. אם הקבצים האלה לא קיימים, יוצרים אותם:
      • postgres-server.properties
      • qpid-server.properties
    3. מוסיפים את המאפיינים הבאים לקבצים:
      הערה: כל המאפיינים האלה מקבלים את סיסמת המשתמש 'postgres' המוצפנת.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. מוודאים שהבעלים של הקבצים הוא המשתמש 'apigee':
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. מפעילים מחדש את הרכיבים הבאים לפי הסדר הזה:
    1. מסד נתונים של PostgreSQL:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. שרת Qpid:
      > /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. שרת Postgres:
      > /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. שרת ניהול:
      > /opt/apigee/apigee-service/bin/apigee-service dge-management-server running