Resetowanie haseł na serwerach brzegowych

Edge for Private Cloud w wersji 4.17.09

Po zakończeniu instalacji możesz zresetować hasła administratora systemu OpenLDAP, użytkownika organizacji Edge i Cassandra.

Zresetuj hasło OpenLDAP

W zależności od konfiguracji przeglądarki Edge można zainstalować OpenLDAP jako:

• pojedyncza instancja OpenLDAP zainstalowana na węźle serwera zarządzania; Na przykład w konfiguracji Edge z 2 węzłami, 5 węzłami lub 9 węzłami.
• Wiele instancji OpenLDAP zainstalowanych na węzłach serwera zarządzania skonfigurowanych z replikacją OpenLDAP. Na przykład w przypadku konfiguracji Edge z 12 węzłami.
• Wiele instancji OpenLDAP zainstalowanych na własnych węzłach skonfigurowanych z replikacją OpenLDAP. Na przykład w konfiguracji Edge z 13 węzłami.

Sposób zresetowania hasła OpenLDAP zależy od konfiguracji.

W przypadku pojedynczej instancji OpenLDAP zainstalowanej na serwerze zarządzającym wykonaj te czynności:

1. Na węźle serwera zarządzania uruchom to polecenie, aby utworzyć nowe hasło OpenLDAP:
   > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
2. Uruchom to polecenie, aby przechowywać nowe hasło, z którego będzie korzystać serwer zarządzania:
   > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword
   
   To polecenie uruchamia ponownie serwer zarządzania.

W przypadku konfiguracji replikacji OpenLDAP z zainstalowanym protokołem OpenLDAP w węzłach serwera zarządzania wykonaj powyższe czynności na obu węzłach serwera zarządzania, aby zaktualizować hasło.

W konfiguracji replikacji OpenLDAP z OpenLDAP na węźle innym niż serwer zarządzania najpierw zmień hasło na obu węzłach OpenLDAP, a następnie na obu węzłach serwera zarządzania.

Resetowanie hasła administratora systemu

Zresetowanie systemowego hasła administratora wymaga zresetowania hasła w dwóch miejscach:

• Serwer zarządzania
• Interfejs użytkownika

Ostrzeżenie: przed zresetowaniem hasła administratora systemu należy zatrzymać interfejs użytkownika Edge. Ze względu na to, że najpierw zresetujesz hasło na serwerze zarządzania, przez krótki czas w interfejsie użytkownika nadal jest używane stare hasło. Jeśli interfejs wykona więcej niż 3 wywołania za pomocą starego hasła, serwer OpenLDAP zablokuje konto administratora systemu na 3 minuty.

Aby zresetować hasło administratora systemu:

1. W węźle interfejsu użytkownika zatrzymaj interfejs Edge UI:
   > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
2. Na serwerze zarządzającym uruchom to polecenie, aby zresetować hasło:
   > /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
3. Edytuj plik konfiguracji bez interfejsu użytkownika, którego użyjesz do zainstalowania interfejsu Edge, aby ustawić te właściwości:
   APIGEE_ADMINPW=newPW
   SMTPHOST=smtp.gmail.com
   SMTPPORT=465
   SMTPUSER=foo@gmail.com
   SMTPPASSWORD=bar
   SMTPSSL=y
   SMTPMAILFROM="My Company <myco@company.com>"
   
   Pamiętaj, że podczas przekazywania nowego hasła musisz uwzględnić właściwości SMTP, ponieważ wszystkie właściwości w interfejsie użytkownika zostaną zresetowane.
4. Użyj narzędzia apigee-setup, aby zresetować hasło w interfejsie Edge z pliku konfiguracji:
   > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
5. (Tylko jeśli protokół TLS jest włączony w UI) Włącz ponownie TLS w interfejsie Edge zgodnie z opisem w sekcji Konfigurowanie TLS w interfejsie zarządzania.

W środowisku OpenLDAP z replikacją z wieloma serwerami zarządzania zresetowanie hasła na jednym serwerze zarządzania powoduje automatyczne zaktualizowanie drugiego serwera zarządzania. Musisz jednak zaktualizować wszystkie węzły interfejsu użytkownika Edge osobno.

Resetowanie hasła użytkownika organizacji

Aby zresetować hasło użytkownika organizacji, użyj narzędzia apigee-servce, aby wywołać apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Na przykład:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword 

Poniżej znajduje się przykładowy plik konfiguracji, którego możesz użyć z opcją „-f”:

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword 

Możesz też użyć interfejsu Update user API, aby zmienić hasło użytkownika.

Reguły dotyczące haseł administratora Sys i reguł haseł użytkowników organizacji

W tej sekcji możesz narzucić pożądaną długość i siłę hasła dla użytkowników zarządzających interfejsem API. Ustawienia te używają serii skonfigurowanych (i numerowanych w unikalny sposób) wyrażeń regularnych do sprawdzania zawartości hasła (np. wielkich i małych liter, cyfr oraz znaków specjalnych). Zapisz te ustawienia w pliku /opt/apigee/customer/application/management-server.properties. Jeśli plik nie istnieje, utwórz go.

Po zmodyfikowaniu pliku management-server.properties uruchom ponownie serwer zarządzania:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Możesz następnie ustawiać oceny siły haseł, grupując różne kombinacje wyrażeń regularnych. Możesz na przykład określić, że hasło, które zawiera co najmniej jedną wielką i jedną małą literę, będzie miało ocenę siły równą 3, ale hasło zawierające co najmniej jedną małą literę i jedną cyfrę będzie mieć wyższe oceny.

Usługi	Opis
conf_security_password.validation.minimum. password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum. rating.required=3	Za ich pomocą możesz określić ogólne cechy prawidłowych haseł. Domyślna minimalna ocena siły hasła (opisana w tabeli poniżej) to 3. Zwróć uwagę, że wartość parametru password.validation.default.rating=2 jest niższa od wymaganej minimalnej oceny, co oznacza, że jeśli wprowadzone hasło nie spełnia wymagań określonych w skonfigurowanych regułach, otrzymuje ocenę 2 i jest nieprawidłowe (poniżej wymaganej minimalnej oceny 3).
Poniżej przedstawiliśmy wyrażenia regularne określające cechy charakterystyczne haseł. Zwróć uwagę, że każda z nich jest ponumerowana. Na przykład „password.validation.regex.5=…” to wyrażenie nr 5. Tych wartości użyjesz w dalszej części pliku, aby ustawić różne kombinacje określające ogólną siłę hasła.
conf_security_password.validation.regex.1=^(.)\\1+$	1 – powtarzanie wszystkich znaków
conf_security_password.validation.regex.2=^.*[a-z]+.*$	2 – co najmniej 1 mała litera
conf_security_password.validation.regex.3=^.*[A-Z]+.*$	3 — co najmniej 1 wielką literę
conf_security_password.validation.regex.4=^.*[0-9]+.*$	4 – co najmniej 1 cyfra.
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$	5 – co najmniej 1 znak specjalny (z wyjątkiem podkreślenia _)
conf_security_password.validation.regex.6=^.*[_]+.*$	6 – co najmniej jedno podkreślenie,
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$	7 – więcej niż 1 mała litera
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$	8 – więcej niż jedna wielka litera
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$	9 – więcej niż jedna cyfra.
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$	10 – więcej niż 1 znak specjalny (z wyjątkiem podkreślenia)
conf_security_password.validation.regex.11=^.*[_]{2,}.*$	11 – więcej niż 1 podkreślenie
Poniższe reguły określają siłę hasła na podstawie jego treści. Każda reguła zawiera co najmniej 1 wyrażenie regularne z poprzedniej sekcji i przypisuje mu wartość liczbową. Aby określić, czy hasło jest prawidłowe, wartość liczbowa hasła jest porównywana z wartością conf_security_password.validation.minimum.rating.required liczbę u góry tego pliku.
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3	Każda reguła jest ponumerowana. Na przykład: "password.validation.rule.3=…" to reguła numer 3. Każda reguła ma następujący format (po prawej stronie znaku równości): <regex-index-list>,<ORAZ|LUB>,<ocena> regex-index-list to lista wyrażeń regularnych (podana według numeru z poprzedniej sekcji) z operatorem AND|OR (czyli uwzględnij wszystkie lub dowolne wyrażenia z listy). Ocena to liczba określająca siłę reguły. Na przykład reguła 5 oznacza, że każde hasło zawierające co najmniej 1 znak specjalny LUB z 1 podkreśleniem ma ocenę siły 4. Z użyciem elementu password.validation.minimum. U góry pliku wpisz rating.required=3, aby hasło z oceną 4 było prawidłowe.
conf_security_rbac.password.validation.enabled=true	Gdy włączone jest logowanie jednokrotne, ustaw weryfikację hasła do kontroli dostępu na podstawie ról na wartość Fałsz. Wartość domyślna to true (prawda).

Resetowanie hasła Cassandra

Domyślnie Cassandra jest dostarczana z wyłączonym uwierzytelnianiem. Jeśli włączysz uwierzytelnianie, będzie ono używać wstępnie zdefiniowanego użytkownika o nazwie 'cassandra i hasła cassandra. Możesz używać tego konta, ustawić dla niego inne hasło lub utworzyć nowego użytkownika Cassandra. Dodawaj, usuwaj i modyfikuj użytkowników za pomocą instrukcji CREATE/ALTER/DROP USER w Cassandra.

Informacje o włączaniu uwierzytelniania Cassandra znajdziesz w artykule Włączanie uwierzytelniania Cassandra.

Aby zresetować hasło do Cassandra:

• Ustawienie hasła w dowolnym węźle Cassandra zostanie wysłane do wszystkich węzłów Cassandra w pierścieniu
• Zaktualizuj serwer zarządzania, procesory wiadomości, routery, serwery Qpid, serwery Postgres oraz pakiet BaaS na każdym węźle, używając nowego hasła.

Więcej informacji znajdziesz na stronie http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Aby zresetować hasło Cassandra:

1. Zaloguj się na dowolnym węźle Cassandra za pomocą narzędzia cqlsh i domyślnych danych logowania. Jeśli zmienisz hasło tylko w jednym węźle Cassandra, zostanie ono wysłane do wszystkich węzłów Cassandra w tym pierścieniu:
   > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
   
   Gdzie:
   
   • cassIP to adres IP węzła Cassandra.
   • 9042 to port Cassandra.
   • Użytkownik domyślny to cassandra.
   • Hasło domyślne to cassandra. Jeśli hasło zostało już wcześniej zmienione, użyj bieżącego hasła.
2. Aby zaktualizować hasło, uruchom to polecenie w poziomie promptu cqlsh>:
   cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
   
   Jeśli nowe hasło zawiera znak cudzysłowu, poprzedz go znakiem cudzysłowu.
3. Zamknij narzędzie cqlsh:
   cqlsh> exit
4. 
   
   
   
   
   
   
   
   
   
   CASS_USERNAME
5. Powtórz krok 4 na:
   • Wszystkie procesory komunikatów
   • Wszystkie routery
   • Wszystkie serwery Qpid (edge-qpid-server)
   • serwery Postgres (edge-postgres-server);
6. W węźle BaaS Stack w wersji 4.16.05.04 lub nowszej:
   1. Aby wygenerować zaszyfrowane hasło, uruchom to polecenie:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password
      
      To polecenie wyświetli prompt z prośbą o podanie hasła w formie zwykłego tekstu i zwróci zaszyfrowane hasło w formie:
      SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
   2. Ustaw te tokeny w pliku /opt/apigee/customer/application/usergrid.properties. Jeśli tego pliku nie ma, utwórz go:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
      
      W tym przykładzie użyto domyślnej nazwy użytkownika dla Cassandra. Jeśli zmienisz nazwę użytkownika, odpowiednio ustaw wartość parametru usergrid-deployment_cassandra.username.
      
      Pamiętaj, aby w haśle umieścić prefiks „SECURE:”. W przeciwnym razie usługa BaaS Stack interpretuje wartość jako niezaszyfrowaną.
      
      Uwaga: każdy węzeł usługi BaaS ma własny klucz służący do szyfrowania hasła. Dlatego musisz wygenerować zaszyfrowaną wartość w każdym węźle usługi BaaS oddzielnie.
   3. Zmień właściciela pliku usergrid.properties na użytkownika 'apigee':
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
   4. Skonfiguruj węzeł zbioru:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
   5. Ponownie uruchom BaaS Stack:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
   6. Powtórz te czynności w przypadku wszystkich nodów BaaS Stack.

Hasło Cassandra zostało zmienione.

Resetuję hasło PostgreSQL

Domyślnie baza danych PostgreSQL ma zdefiniowanych 2 użytkowników: „postgres” i „apigee”. Hasło domyślne obu użytkowników to „postgres”. Aby zmienić domyślne hasło, wykonaj tę procedurę.

Zmień hasło we wszystkich węzłach głównych Postgres. Jeśli masz 2 serwery Postgres skonfigurowane w trybie głównym/w trybie gotowości, musisz zmienić tylko hasło na węźle głównym. Więcej informacji znajdziesz w artykule Konfigurowanie replikacji typu master-standby w Postgres.

1. Na węźle głównym Postgres zmień katalog na /opt/apigee/apigee-postgresql/pgsql/bin.
2. Ustaw hasło użytkownika „postgres” w PostgreSQL:
   1. Zaloguj się do bazy danych PostgreSQL za pomocą tego polecenia:
      > psql -h localhost -d apige -U postgres
   2. Gdy pojawi się prośba, wpisz hasło użytkownika „postgres” jako „postgres”.
   3. W wierszu polecenia PostgreSQL wpisz to polecenie, aby zmienić domyślne hasło:
      apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234';
   4. Zamknij bazę danych PostgreSQL za pomocą polecenia:
      apigee=> \q
3. Ustaw hasło użytkownika „apigee” w PostgreSQL:
   1. Zaloguj się w bazie danych PostgreSQL za pomocą tego polecenia:
      > psql -h localhost -d apigee -U apigee
   2. Gdy pojawi się prośba, wpisz hasło użytkownika „apigee” jako „postgres”.
   3. Aby zmienić domyślne hasło, wpisz to polecenie w wierszu poleceń PostgreSQL:
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
   4. Zamknij bazę danych PostgreSQL za pomocą tego polecenia:
      apigee=> \q
4. Ustaw zmienną APIGEE_HOME:
   > export APIGEE_HOME=/opt/apigee/edge-postgres-server
5. Zaszyfruj nowe hasło:
   > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
   
   To polecenie zwraca zaszyfrowane hasło, jak pokazano poniżej. Zaszyfrowane hasło zaczyna się po znaku „:” i nie zawiera „:”.
   Zaszyfrowany ciąg znaków :WheaR8U4OeMEM11erxA3Cw==
6. Zaktualizuj węzeł serwera zarządzania, podając nowe zaszyfrowane hasła dla użytkowników 'postgres' i 'apigee'.
   1. Na serwerze zarządzania zmień katalog na /opt/apigee/customer/application.
   2. W pliku management-server.properties zmień te właściwości. Jeśli ten plik nie istnieje, utwórz go:
      Uwaga: niektóre usługi przyjmują zaszyfrowane hasło użytkownika „postgres”, a inne zaszyfrowane hasło „apigee”.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
   3. Sprawdź, czy plik należy do użytkownika „apigee”:
      > chown apigee:apigee management-server.properties
7. Zaktualizuj wszystkie węzły serwera Postgres i Qpid Server, używając nowego zaszyfrowanego hasła.
   1. Na węźle serwera Postgres lub Qpid Server zmień katalog na /opt/apigee/customer/application.
   2. Zmodyfikuj te pliki. Jeśli te pliki nie istnieją, utwórz je:
      • postgres-server.properties
      • qpid-server.properties
   3. Dodaj do plików te właściwości:
      Uwaga: wszystkie te właściwości przyjmuje zaszyfrowane hasło użytkownika „postgres”.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
   4. Upewnij się, że właścicielem plików jest użytkownik „apigee”:
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
8. W tej kolejności zrestartuj te komponenty:
   1. Baza danych PostgreSQL:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
   2. Serwer Qpid:
      > /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
   3. Serwer Postgres:
      > /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
   4. Serwer zarządzający:
      > /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart