Mereset Sandi Edge

Edge for Private Cloud v. 4.17.09

Anda dapat mereset sandi OpenLDAP, administrator sistem Apigee Edge, pengguna organisasi Edge, dan Cassandra setelah penginstalan selesai.

Mereset Sandi OpenLDAP

Bergantung pada konfigurasi Edge, OpenLDAP dapat diinstal sebagai:

  • Satu instance OpenLDAP yang diinstal di node Server Manajemen. Misalnya, dalam konfigurasi Edge 2 node, 5 node, atau 9 node.
  • Beberapa instance OpenLDAP diinstal pada node Server Pengelolaan, yang dikonfigurasi dengan replikasi OpenLDAP. Misalnya, dalam konfigurasi Edge 12 node.
  • Beberapa instance OpenLDAP yang diinstal di node-nya sendiri, yang dikonfigurasi dengan replikasi OpenLDAP. Misalnya, dalam konfigurasi Edge 13 node.

Cara mereset sandi OpenLDAP bergantung pada konfigurasi Anda.

Untuk satu instance OpenLDAP yang diinstal di Server Pengelolaan, lakukan hal berikut:

  1. Di node Server Pengelolaan, jalankan perintah berikut untuk membuat sandi OpenLDAP baru:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. Jalankan perintah berikut untuk menyimpan sandi baru agar dapat diakses oleh Server Pengelolaan:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword

    Perintah ini akan memulai ulang Server Pengelolaan.

Dalam penyiapan replikasi OpenLDAP dengan OpenLDAP yang diinstal di node Server Manajemen, ikuti langkah-langkah di atas di kedua node Server Manajemen untuk memperbarui sandi.

Dalam penyiapan replikasi OpenLDAP dengan OpenLDAP berada di node selain Server Manajemen, pastikan Anda mengubah sandi terlebih dahulu di kedua node OpenLDAP, lalu di kedua node Server Manajemen.

Mereset Sandi Admin Sistem

Untuk mereset sandi admin sistem, Anda harus mereset sandi di dua tempat:

  • Server Pengelolaan
  • UI

Peringatan: Anda harus menghentikan UI Edge sebelum mereset sandi admin sistem. Karena Anda mereset sandi terlebih dahulu di Server Pengelolaan, mungkin ada periode waktu singkat saat UI masih menggunakan sandi lama. Jika UI melakukan lebih dari tiga panggilan menggunakan sandi lama, server OpenLDAP akan mengunci akun admin sistem selama tiga menit.

Untuk mereset sandi admin sistem:

  1. Di node UI, hentikan UI Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Di Server Pengelolaan, jalankan perintah berikut untuk mereset sandi:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. Edit file konfigurasi senyap yang Anda gunakan untuk menginstal UI Edge guna menetapkan properti berikut:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

    Perhatikan bahwa Anda harus menyertakan properti SMTP saat meneruskan sandi baru karena semua properti di UI akan direset.
  4. Gunakan utilitas apigee-setup untuk mereset sandi di UI Edge dari file konfigurasi:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Hanya jika TLS diaktifkan di UI) Aktifkan kembali TLS di UI Edge seperti yang dijelaskan dalam Mengonfigurasi TLS untuk UI pengelolaan.

Dalam lingkungan Replikasi OpenLDAP dengan beberapa Server Pengelolaan, mereset sandi di satu Server Pengelolaan akan memperbarui Server Pengelolaan lainnya secara otomatis. Namun, Anda harus memperbarui semua node UI Edge secara terpisah.

Mereset Sandi Pengguna Organisasi

Untuk mereset sandi pengguna organisasi, gunakan utilitas apigee-servce untuk memanggil apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Contoh:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

Berikut adalah contoh file konfigurasi yang dapat Anda gunakan dengan opsi "-f":

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

Anda juga dapat menggunakan API Update user untuk mengubah sandi pengguna.

Aturan Sandi Pengguna Organisasi dan Admin Sistem

Gunakan bagian ini untuk menerapkan tingkat panjang dan kekuatan sandi yang diinginkan bagi pengguna pengelolaan API Anda. Setelan ini menggunakan serangkaian ekspresi reguler yang telah dikonfigurasi sebelumnya (dan diberi nomor unik) untuk memeriksa konten sandi (seperti huruf besar, huruf kecil, angka, dan karakter khusus). Tulis setelan ini ke file /opt/apigee/customer/application/management-server.properties. Jika file tersebut tidak ada, buat file tersebut.

Setelah mengedit management-server.properties, mulai ulang server pengelolaan:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Kemudian, Anda dapat menetapkan rating kekuatan sandi dengan mengelompokkan berbagai kombinasi ekspresi reguler. Misalnya, Anda dapat menentukan bahwa sandi dengan minimal satu huruf besar dan satu huruf kecil mendapatkan rating kekuatan "3", tetapi sandi dengan minimal satu huruf kecil dan satu angka mendapatkan rating yang lebih kuat, yaitu "4".

Properti

Deskripsi

{i>conf_security_password.validation.minimum<i}.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

Gunakan ini untuk menentukan karakteristik keseluruhan sandi yang valid. Rating minimum default untuk kekuatan sandi (dijelaskan nanti dalam tabel) adalah 3.

Perhatikan bahwa password.validation.default.rating=2 lebih rendah dari rating minimum yang diperlukan, yang berarti bahwa jika sandi yang dimasukkan berada di luar aturan yang Anda konfigurasi, sandi tersebut diberi rating 2 dan karenanya tidak valid (di bawah rating minimum 3).

Berikut adalah ekspresi reguler yang mengidentifikasi karakteristik sandi. Perhatikan bahwa setiap kartu diberi nomor. Misalnya, "password.validation.regex.5=…" adalah ekspresi nomor 5. Anda akan menggunakan angka ini di bagian file berikutnya untuk menetapkan berbagai kombinasi yang menentukan kekuatan sandi secara keseluruhan.

conf_security_password.validation.regex.1=^(.)\\1+$

1 – Semua karakter diulang

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – Minimal satu huruf kecil

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – Minimal satu huruf besar

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – Minimal satu digit

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – Minimal satu karakter khusus (tidak termasuk garis bawah _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – Setidaknya satu garis bawah

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 – Lebih dari satu huruf kecil

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – Lebih dari satu huruf besar

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – Lebih dari satu digit

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – Lebih dari satu karakter khusus (tidak termasuk garis bawah)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – Lebih dari satu garis bawah

Aturan berikut menentukan kekuatan sandi berdasarkan konten sandi. Setiap aturan menyertakan satu atau beberapa ekspresi reguler dari bagian sebelumnya dan menetapkan kekuatan numerik ke aturan tersebut. Kekuatan numerik sandi dibandingkan dengan angka conf_security_password.validation.minimum.rating.required di bagian atas file ini untuk menentukan apakah sandi valid atau tidak.

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

Setiap aturan diberi nomor. Misalnya, "password.validation.rule.3=..." adalah aturan nomor 3.

Setiap aturan menggunakan format berikut (di kanan tanda sama dengan):

<regex-index-list>,<AND|OR>,<rating>

regex-index-list adalah daftar ekspresi reguler (menurut nomor dari bagian sebelumnya), bersama dengan operator AND|OR (artinya, pertimbangkan semua atau salah satu ekspresi yang tercantum).

rating adalah rating kekuatan numerik yang diberikan untuk setiap aturan.

Misalnya, aturan 5 berarti bahwa setiap sandi dengan minimal satu karakter khusus ATAU satu garis bawah akan mendapatkan rating kekuatan 4. Dengan password.validation.minimum.
rating.required=3 di bagian atas file, sandi dengan rating 4 valid.

conf_security_rbac.password.validation.enabled=true

Tetapkan validasi sandi kontrol akses berbasis peran ke salah jika single sign-on (SSO) diaktifkan. Defaultnya adalah true (benar).

Mereset sandi Cassandra

Secara default, Cassandra dikirim dengan autentikasi dinonaktifkan. Jika Anda mengaktifkan autentikasi, autentikasi tersebut akan menggunakan pengguna standar bernama 'cassandra' dengan sandi 'cassandra'. Anda dapat menggunakan akun ini, menetapkan sandi yang berbeda untuk akun ini, atau membuat pengguna Cassandra baru. Menambahkan, menghapus, dan mengubah pengguna menggunakan pernyataan CREATE/ALTER/DROP USER Cassandra.

Untuk mengetahui informasi tentang cara mengaktifkan autentikasi Cassandra, lihat Mengaktifkan autentikasi Cassandra.

Untuk mereset sandi Cassandra, Anda harus:

  • Tetapkan sandi di salah satu node Cassandra dan sandi tersebut akan disiarkan ke semua node Cassandra dalam ring
  • Perbarui Server Pengelolaan, Pemroses Pesan, Router, server Qpid, server Postgres, dan Stack BaaS di setiap node dengan sandi baru

Untuk informasi selengkapnya, lihat http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Untuk mereset sandi Cassandra:

  1. Login ke salah satu node Cassandra menggunakan alat cqlsh dan kredensial default. Anda hanya perlu mengubah sandi di satu node Cassandra dan sandi tersebut akan disiarkan ke semua node Cassandra dalam ring:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Dengan:
    • cassIP adalah alamat IP node Cassandra.
    • 9042 adalah port Cassandra.
    • Pengguna default adalah cassandra.
    • Sandi defaultnya adalah cassandra. Jika Anda telah mengubah sandi sebelumnya, gunakan sandi saat ini.
  2. Jalankan perintah berikut sebagai prompt cqlsh> untuk memperbarui sandi:
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Jika sandi baru berisi satu karakter kutip, awali sandi dengan mengawalinya dengan satu karakter tanda kutip.
  3. Keluar dari alat cqlsh:
    cqlsh> exit
  4. Di node Server Pengelolaan, jalankan perintah berikut:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Secara opsional, Anda dapat meneruskan file ke perintah yang berisi nama pengguna dan sandi baru:
    > apigee-service edge-management-server store_cassandra_credentials -f configFile

    Dengan configFile berisi hal berikut:
    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD

    Dengan perintah ini, Server Pengelolaan akan otomatis dimulai ulang.
  5. Ulangi langkah 4 di:
    • Semua Message Processor
    • Semua Router
    • Semua server Qpid (edge-qpid-server)
    • Server Postgres (edge-postgres-server)
  6. Di node BaaS Stack untuk versi 4.16.05.04 dan yang lebih baru:
    1. Jalankan perintah berikut untuk membuat sandi terenkripsi:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Perintah ini meminta sandi teks biasa dan menampilkan sandi terenkripsi dalam bentuk:
      SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. Tetapkan token berikut di /opt/apigee/customer/application/usergrid.properties. Jika file tersebut tidak ada, buat file tersebut:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8 untuk contoh default ini

      Jika Anda mengubah nama pengguna, tetapkan nilai usergrid-deployment_cassandra.username.

      Pastikan Anda menyertakan awalan "SECURE:" pada sandi. Jika tidak, BaaS Stack akan menafsirkan nilai tersebut sebagai tidak dienkripsi.

      Catatan: Setiap node BaaS Stack memiliki kunci unik yang digunakan untuk mengenkripsi sandi. Oleh karena itu, Anda harus membuat nilai terenkripsi di setiap node BaaS Stack secara terpisah.
    3. Ubah kepemilikan file usergrid.properties ke pengguna 'apigee':
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Konfigurasikan node Stack:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. Mulai ulang Stack BaaS:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. Ulangi langkah-langkah ini untuk semua nod BaaS Stack.

Sandi Cassandra sekarang telah diubah.

Mereset sandi PostgreSQL

Secara default, database PostgreSQL memiliki dua pengguna yang ditentukan: 'postgres' dan 'apigee'. Kedua pengguna memiliki sandi default 'postgres'. Gunakan prosedur berikut untuk mengubah sandi default.

Ubah sandi di semua node master Postgres. Jika memiliki dua server Postgres yang dikonfigurasi dalam mode master/standby, Anda hanya perlu mengubah Sandi di node master. Lihat Menyiapkan Replikasi Standby Master untuk Postgres untuk informasi selengkapnya.

  1. Pada node Master Postgres, ubah direktori menjadi /opt/apigee/apigee-postgresql/pgsql/bin.
  2. Tetapkan sandi pengguna 'postgres' PostgreSQL:
    1. Login ke database PostgreSQL menggunakan perintah:
      > psql -h localhost -d apigee -U postgres
    2. Saat diminta, masukkan sandi pengguna 'postgres' sebagai 'postgres'.
    3. Pada command prompt PostgreSQL, masukkan perintah berikut untuk mengubah sandi default:
      apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234';
    4. Keluar dari database PostgreSQL menggunakan perintah:
      apigee=> \q
  3. Tetapkan sandi pengguna 'apigee' PostgreSQL:
    1. Login ke database PostgreSQL menggunakan perintah:
      > psql -h localhost -d apigee -U apigee
    2. Saat diminta, masukkan sandi pengguna 'apigee' sebagai 'postgres'.
    3. Di command prompt PostgreSQL, masukkan perintah berikut untuk mengubah sandi default:
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
    4. Keluar dari database PostgreSQL menggunakan perintah:
      apigee=> \q
  4. Tetapkan APIGEE_HOME:
    > export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Enkripsi sandi baru:
    > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Perintah ini menampilkan sandi terenkripsi seperti yang ditunjukkan di bawah. Sandi terenkripsi dimulai setelah karakter ":" dan tidak menyertakan ":".
    String terenkripsi :WheaR8U4OeMEM11erxA3Cw==
  6. Update node Server Pengelolaan dengan sandi terenkripsi baru untuk pengguna 'postgres' dan 'apigee'.
    1. Di Server Pengelolaan, ubah direktori ke /opt/apigee/customer/application.
    2. Edit file management-server.properties untuk menetapkan properti berikut. Jika file ini tidak ada, buat file tersebut:
      Catatan: Beberapa properti menggunakan sandi pengguna 'postgres' yang dienkripsi, dan beberapa menggunakan sandi pengguna 'apigee' yang dienkripsi.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Pastikan file tersebut dimiliki oleh pengguna 'apigee':
      > chown apigee:apigee management-server.properties
  7. Perbarui semua node Server Postgres dan Server Qpid dengan sandi terenkripsi baru.
    1. Di node Server Postgres atau Server Qpid, ubah direktori ke /opt/apigee/customer/application.
    2. Edit file berikut. Jika file ini tidak ada, buat file tersebut:
      • postgres-server.properties
      • qpid-server.properties
    3. Tambahkan properti berikut ke file:
      Catatan: Semua properti ini menggunakan sandi pengguna 'postgres' yang dienkripsi.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Pastikan file dimiliki oleh pengguna 'apigee':
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. Mulai ulang komponen berikut dalam urutan ini:
    1. Database PostgreSQL:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Server Qpid:
      > /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Server Postgres:
      > /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Server Pengelolaan:
      > /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart