Como redefinir senhas de borda

Edge para nuvem privada v. 4.17.09

É possível redefinir as senhas do OpenLDAP, administrador do sistema da Apigee Edge, do usuário da organização do Edge e do Cassandra após a conclusão da instalação.

Redefinir a senha do OpenLDAP

Dependendo da configuração do Edge, o OpenLDAP pode ser instalado como:

  • Uma única instância do OpenLDAP instalada no nó do servidor de gerenciamento. Por exemplo, em uma configuração de borda de 2, 5 ou 9 nós.
  • Várias instâncias do OpenLDAP instaladas em nós do servidor de gerenciamento, configuradas com a replicação do OpenLDAP. Por exemplo, em uma configuração de 12 nós do Edge.
  • Várias instâncias do OpenLDAP instaladas nos próprios nós, configuradas com replicação OpenLDAP. Por exemplo, em uma configuração de 13 nós do Edge.

A forma de redefinir a senha do OpenLDAP depende da sua configuração.

Para uma única instância do OpenLDAP instalada no servidor de gerenciamento, faça o seguinte:

  1. No nó do Servidor de gerenciamento, execute o seguinte comando para criar a nova senha do OpenLDAP:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. Execute o comando a seguir para armazenar a nova senha de acesso pelo servidor de gerenciamento:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword

    Esse comando reinicia o servidor de gerenciamento.

Em uma configuração de replicação do OpenLDAP com o OpenLDAP instalado nos nós do servidor de gerenciamento, siga as etapas acima nos dois nós do servidor de gerenciamento para atualizar a senha.

Em uma configuração de replicação do OpenLDAP com o OpenLDAP em um nó que não seja o servidor de gerenciamento, primeiro mude a senha nos dois nós do OpenLDAP e depois nos dois nós do servidor de gerenciamento.

Redefinir a senha de administrador do sistema

Para redefinir a senha de administrador do sistema, é preciso redefinir a senha em dois locais:

  • Servidor de gerenciamento
  • Interface

Aviso: interrompa a interface do Edge antes de redefinir a senha de administrador do sistema. Como você redefiniu a senha primeiro no servidor de gerenciamento, pode haver um curto período em que a interface ainda está usando a senha antiga. Se a IU fizer mais de três chamadas usando a senha antiga, o servidor OpenLDAP bloqueará a conta de administrador do sistema por três minutos.

Para redefinir a senha de administrador do sistema:

  1. No nó da IU, interrompa a interface do Edge:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-ui stop
  2. No servidor de gerenciamento, execute o comando a seguir para redefinir a senha:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. Edite o arquivo de configuração silenciosa usado para instalar a interface do Edge para definir as seguintes propriedades:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

  4. Use o utilitário apigee-setup para redefinir a senha na interface do Edge a partir do arquivo de configuração:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Somente se o TLS estiver ativado na interface) Ative o TLS na interface do Edge, conforme descrito em Configurar o TLS para a interface de gerenciamento.

Em um ambiente de replicação do OpenLDAP com vários servidores de gerenciamento, a redefinição da senha em um servidor de gerenciamento atualiza o outro servidor automaticamente. No entanto, você precisa atualizar todos os nós da interface do Edge separadamente.

Redefinir a senha do usuário da organização

Para redefinir a senha de um usuário da organização, utilize o utilitário apigee-servce para invocar apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Exemplo:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

Confira abaixo um exemplo de arquivo de configuração que pode ser usado com a opção "-f":

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

Também é possível usar a API Update user para alterar a senha do usuário.

Regras de senha do usuário e do administrador do sistema

Use esta seção para aplicar um nível desejado de comprimento e força da senha para os usuários de gerenciamento de API. As configurações usam uma série de expressões regulares pré-configuradas (e numeradas de forma exclusiva) para verificar o conteúdo da senha (como letras maiúsculas, minúsculas, números e caracteres especiais). Grave essas configurações no arquivo /opt/apigee/customer/application/management-server.properties. Se esse arquivo não existir, crie-o.

Depois de editar management-server.properties, reinicie o servidor de gerenciamento:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Em seguida, você pode definir classificações de nível da senha agrupando diferentes combinações de expressões regulares. Por exemplo, é possível determinar que uma senha com pelo menos uma letra maiúscula e uma minúscula recebe uma classificação de força de "3", mas que uma senha com pelo menos uma letra minúscula e um número recebe uma classificação mais forte de "4".

Propriedades

Descrição

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

Use essas informações para determinar as características gerais de senhas válidas. A classificação mínima padrão para o nível da senha (descrito mais adiante na tabela) é 3.

A senha.validation.default.rating=2 é menor que a classificação mínima necessária, ou seja, se uma senha inserida estiver fora das regras configuradas, a senha será classificada como 2 e, portanto, inválida (abaixo da classificação mínima de 3).

A seguir estão as expressões regulares que identificam as características da senha. Observe que cada um é numerado. Por exemplo, "password.validation.regex.5=…" é a expressão número 5. Você vai usar esses números em uma seção posterior do arquivo para definir combinações diferentes que determinam a força geral da senha.

conf_security_password.validation.regex.1=^(.)\\1+$

1 – Todos os caracteres são repetidos

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – Pelo menos uma letra minúscula

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – Pelo menos uma letra maiúscula

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – Pelo menos um dígito

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – Pelo menos um caractere especial (sem sublinhado _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – Pelo menos um sublinhado

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7: mais de uma letra minúscula

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – Mais de uma letra maiúscula

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – mais de um dígito

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10: mais de um caractere especial (sem sublinhado)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – Mais de um sublinhado

As regras a seguir determinam a força da senha com base no conteúdo dela. Cada regra inclui uma ou mais expressões regulares da seção anterior e atribui um nível numérico a ela. A força numérica de uma senha é comparada ao número conf_security_password.validation.minimum.rating.required na parte superior do arquivo para determinar se uma senha é válida ou não.

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

Cada regra é numerada. Por exemplo, "password.validation.rule.3=…" é a regra de número 3.

Cada regra usa o seguinte formato (à direita do sinal de igualdade):

<regex-index-list>,<AND|OR>,<rating>

regex-index-list é a lista de expressões regulares (por número da seção anterior), com um operador AND|OR (o que significa considerar todas ou qualquer uma das expressões listadas).

Classificação é a classificação numérica de força atribuída a cada regra.

Por exemplo, a regra 5 significa que qualquer senha com pelo menos um caractere especial OU um sublinhado recebe uma classificação de nível 4. Com senha.validation.minimum.
rating.required=3 na parte de cima do arquivo, uma senha com a classificação 4 é válida.

conf_security_rbac.password.validation.enabled=true

Definir a validação de senha do controle de acesso baseado em função como falsa quando o Logon único (SSO) estiver ativado. O padrão é verdadeiro.

Como redefinir a senha do Cassandra

Por padrão, o Cassandra é enviado com a autenticação desativada. Se você ativar a autenticação, ela vai usar um usuário predefinido chamado 'cassandra' com uma senha 'cassandra'. Você pode usar essa conta, definir uma senha diferente para ela ou criar um novo usuário do Cassandra. Adicione, remova e modifique usuários usando as instruções CREATE/ALTER/DROP USER do Cassandra.

Para saber como ativar a autenticação do Cassandra, consulte Ativar a autenticação do Cassandra.

Para redefinir a senha do Cassandra, você precisa fazer o seguinte:

  • Defina a senha em qualquer nó do Cassandra, e ela será transmitida para todos os nós do Cassandra no anel.
  • Atualize o servidor de gerenciamento, os processadores de mensagens, os roteadores, os servidores Qpid, os servidores Postgres e a pilha BaaS em cada nó com a nova senha.

Para mais informações, consulte http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Para redefinir a senha do Cassandra:

  1. Faça login em qualquer nó do Cassandra usando a ferramenta cqlsh e as credenciais padrão. Você só precisa mudar a senha em um nó do Cassandra, e ela será transmitida para todos os nós do Cassandra no anel:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Onde:
    • cassIP é o endereço IP do nó do Cassandra.
    • 9042 é a porta do Cassandra.
    • O usuário padrão é cassandra.
    • A senha padrão é cassandra. Se você já mudou a senha, use a senha atual.
  2. Execute o comando a seguir como o comando cqlsh> para atualizar a senha:
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Se a nova senha contiver um caractere de aspas simples, escape-a precedendo-a com um caractere de aspas simples.
  3. Saia da ferramenta cqlsh:
    cqlsh> exit
  4. No nó do servidor de gerenciamento, execute o seguinte comando:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Como alternativa, é possível transmitir um arquivo para o comando contendo o novo nome de usuário e a senha:
    > apigee-service edge-management-server store_cassandra_credentials -f configFile

    Em que o configFile contém o seguinte:
    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD

    Esse comando reinicia automaticamente o servidor de gerenciamento.
  5. Repita a etapa 4 em:
    • Todos os processadores de mensagens
    • Todos os roteadores
    • Todos os servidores Qpid (edge-qpid-server)
    • Servidores Postgres (edge-postgres-server)
  6. No nó da pilha BaaS para a versão 4.16.05.04 e mais recente:
    1. Execute o comando a seguir para gerar uma senha criptografada:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Esse comando solicitará a senha em texto simples e retornar a senha criptografada no formato:
      SECURE:ae1b6dedbf6b26aaab8bee815b0f3c9c9c9c9c
    2. Defina os seguintes tokens em /opt/apigee/customer/application/usergrid.properties. Se o arquivo não existir, crie-o:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c2309e430.
      Este exemplo usa os nomes de usuário e os nomes de usuário padrão.
       Se você alterou o nome de usuário, defina o valor usergrid-deployment_cassandra.username adequadamente.

      Inclua o prefixo SECURE:" na senha. Caso contrário, a pilha BaaS interpreta o valor como não criptografado.

      Observação: cada nó da pilha de BaaS tem a própria chave exclusiva usada para criptografar a senha. Portanto, é necessário gerar o valor criptografado em cada nó da pilha BaaS separadamente.
    3. Altere a propriedade do arquivo usergrid.properties para o usuário 'apigee':
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Configure o nó da pilha:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. Reinicie a pilha BaaS:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. Repita essas etapas para todos os nós da pilha BaaS.

A senha do Cassandra foi alterada.

Como redefinir a senha do PostgreSQL

Por padrão, o banco de dados PostgreSQL tem dois usuários definidos: "postgres" e "apigee". Ambos os usuários têm uma senha padrão de "postgres". Use o procedimento a seguir para mudar a senha padrão.

Mude a senha em todos os nós mestre do Postgres. Se você tiver dois servidores Postgres configurados no modo mestre/standby, só vai ser necessário mudar a senha no nó mestre. Consulte Configurar a replicação mestre-standby para Postgres para saber mais.

  1. No nó mestre do Postgres, mude o diretório para /opt/apigee/apigee-postgresql/pgsql/bin.
  2. Defina a senha do usuário "postgres" do PostgreSQL:
    1. Faça login no banco de dados do PostgreSQL usando o comando:
      > psql -h localhost -d apigee -U postgres
    2. Quando solicitado, digite a senha de usuário do "postgres" como "postgres".
    3. No prompt de comando do PostgreSQL, digite o seguinte comando para alterar a senha padrão:
      apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234';
    4. Saia do banco de dados do PostgreSQL usando o comando:
      apigee=> \q
  3. Defina a senha do usuário da Apigee no PostgreSQL:
    1. Faça login no banco de dados PostgreSQL usando o comando:
      > psql -h localhost -d apigee -U apigee
    2. Quando solicitado, digite a senha do usuário "apigee" como "postgres".
    3. No prompt de comando do PostgreSQL, digite o seguinte comando para alterar a senha padrão:
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
    4. Saia do banco de dados do PostgreSQL usando o comando:
      apigee=> \q
  4. Configure APIGEE_HOME:
    > export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Criptografe a nova senha:
    > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Esse comando retorna a senha criptografada conforme mostrado abaixo. A senha criptografada começa após o caractere ":" e não inclui o ":".
    String criptografada :WheaR8U4OeMEM11erxA3Cw==
  6. Atualize o nó do servidor de gerenciamento com as novas senhas criptografadas para os usuários "postgres" e "apigee".
    1. No servidor de gerenciamento, mude o diretório para /opt/apigee/customer/application.
    2. Edite o arquivo management-server.properties para definir as propriedades a seguir. Se esse arquivo não existir, crie-o:
      Observação: algumas propriedades usam a senha de usuário criptografada 'postgres' e outras usam a senha de usuário criptografada 'apigee'.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Verifique se o arquivo é de propriedade do usuário "apigee":
      > chown apigee:apigee management-server.properties
  7. Atualize todos os nós do servidor Postgres e do servidor Qpid com a nova senha criptografada.
    1. No nó do servidor Postgres ou do Qpid Server, altere o diretório para /opt/apigee/customer/application.
    2. Edite os seguintes arquivos. Se esses arquivos não existirem, crie-os:
      • postgres-server.properties
      • qpid-server.properties
    3. Adicione as seguintes propriedades aos arquivos:
      Observação: todas essas propriedades usam a senha de usuário criptografada "postgres".
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Confira se os arquivos são de propriedade do usuário "apigee":
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. Reinicie os seguintes componentes nesta ordem:
    1. Banco de dados PostgreSQL:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Servidor Qpid:
      > /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Servidor do Postgres:
      > /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Servidor de gerenciamento:
      > /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart