Edge Şifrelerini Sıfırlama

Edge for Private Cloud s. 4.17.09

Kurulum tamamlandıktan sonra OpenLDAP, Apigee Edge sistem yöneticisi, Edge kuruluş kullanıcısı ve Cassandra şifrelerini sıfırlayabilirsiniz.

OpenLDAP Şifresini Sıfırlama

Edge yapılandırmanıza bağlı olarak OpenLDAP şu şekilde yüklenebilir:

  • Yönetim sunucusu düğümüne yüklenen tek bir OpenLDAP örneği. Örneğin, 2 düğümlü, 5 düğümlü veya 9 düğümlü bir Edge yapılandırmasında.
  • Yönetim sunucusu düğümlerine OpenLDAP çoğaltmasıyla yapılandırılmış birden fazla OpenLDAP örneği yüklenmiş. Örneğin, 12 düğümlü bir Edge yapılandırmasında.
  • OpenLDAP çoğaltmasıyla yapılandırılmış, kendi düğümlerine yüklenmiş birden fazla OpenLDAP örneği. Örneğin, 13 düğümlü bir Edge yapılandırmasında.

OpenLDAP şifresini sıfırlama yönteminiz, yapılandırmanıza bağlıdır.

Yönetim sunucusunda yüklü tek bir OpenLDAP örneği için aşağıdakileri yapın:

  1. Yönetim sunucusu düğümünde, yeni OpenLDAP şifresini oluşturmak için aşağıdaki komutu çalıştırın:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. Yönetim sunucusunun erişmesi için yeni şifreyi depolamak üzere aşağıdaki komutu çalıştırın:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword

    Bu komut, Yönetim Sunucusunu yeniden başlatır.

Yönetim sunucusu düğümlerine OpenLDAP yüklenmiş OpenLDAP çoğaltma kurulumunda, şifreyi güncellemek için her iki yönetim sunucusu düğümünde de yukarıdaki adımları uygulayın.

OpenLDAP'nin Yönetim Sunucusu dışında bir düğümde yer aldığı OpenLDAP çoğaltma kurulumunda, önce şifreyi her iki OpenLDAP düğümünde, sonra da her iki Yönetim Sunucusu düğümünde değiştirdiğinizden emin olun.

Sistem Yöneticisi Şifresini Sıfırla

Sistem yöneticisi şifresini sıfırlayabilmek için şifreyi iki yerden sıfırlamanız gerekir:

  • Yönetim sunucusu
  • Kullanıcı Arayüzü

Uyarı: Sistem yöneticisi şifresini sıfırlamadan önce Edge kullanıcı arayüzünü durdurmanız gerekir. Şifreyi önce Yönetim Sunucusu'nda sıfırladığınız için kullanıcı arayüzünün kısa bir süre boyunca eski şifreyi kullanması Kullanıcı arayüzü eski şifreyi kullanarak üçten fazla çağrı yaparsa OpenLDAP sunucusu sistem yöneticisi hesabını üç dakika boyunca kilitler.

Sistem yöneticisi şifresini sıfırlamak için:

  1. Kullanıcı arayüzü düğümünde Edge kullanıcı arayüzünü durdurun:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Yönetim Sunucusu'nda, şifreyi sıfırlamak için aşağıdaki komutu çalıştırın:
    > /opt/potansiyel/qwiklabs-service/bin/gelir-hizmeti Edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. Aşağıdaki özellikleri ayarlamak için Edge kullanıcı arayüzünü yüklemek amacıyla kullandığınız sessiz yapılandırma dosyasını düzenleyin:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

    Kullanıcı arayüzündeki tüm özellikler sıfırlandığından yeni şifreyi ilettiğinizde SMTP özelliklerini eklemeniz gerektiğini unutmayın.
  4. Edge kullanıcı arayüzündeki şifreyi yapılandırma dosyasından sıfırlamak için apigee-setup yardımcı programını kullanın:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Yalnızca kullanıcı arayüzünde TLS etkinse) Yönetim arayüzü için TLS'yi yapılandırma bölümünde açıklandığı gibi Edge kullanıcı arayüzünde TLS'yi yeniden etkinleştirin.

Birden çok Yönetim Sunucusu'nun bulunduğu OpenLDAP çoğaltma ortamında, bir Yönetim Sunucusu'nda şifre sıfırlandığında diğer Yönetim Sunucusu otomatik olarak güncellenir. Ancak tüm Edge kullanıcı arayüzü düğümlerini ayrı ayrı güncellemeniz gerekir.

Kuruluş kullanıcısının şifresini sıfırlama

Bir kuruluş kullanıcısının şifresini sıfırlamak için apigee-setup'u çağırmak üzere apigee-servce yardımcı programını kullanın:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Örneğin:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

Aşağıda, "-f" seçeneğiyle kullanabileceğiniz örnek bir yapılandırma dosyası gösterilmektedir:

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

Kullanıcı şifresini değiştirmek için Kullanıcıyı güncelle API'sini de kullanabilirsiniz.

Sistem Yöneticisi ve Kuruluş Kullanıcısı Şifre Kuralları

API yönetimi kullanıcılarınız için istediğiniz düzeyde şifre uzunluğu ve gücü uygulamak için bu bölümü kullanın. Ayarlar, şifre içeriğini (ör. büyük harf, küçük harf, sayı ve özel karakterler) kontrol etmek için önceden yapılandırılmış (ve benzersiz şekilde numaralandırılmış) bir dizi normal ifade kullanır. Bu ayarları /opt/apigee/customer/application/management-server.properties dosyasına yazın. Bu dosya yoksa oluşturun.

management-server.properties dosyasını düzenledikten sonra yönetim sunucusunu yeniden başlatın:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Ardından, normal ifade kombinasyonlarını gruplandırarak şifre gücü puanlarını ayarlayabilirsiniz. Örneğin, en az bir büyük harf ve bir küçük harf içeren bir şifrenin "3", en az bir küçük harf ve bir rakam içeren bir şifrenin ise "4" olarak derecelendirilmesini belirleyebilirsiniz.

Mülkler

Açıklama

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

Geçerli şifrelerin genel özelliklerini belirlemek için bunları kullanın. Şifre gücü için varsayılan minimum puan (tabloda daha sonra açıklanmaktadır) 3'tür.

password.validation.default.rating=2 değerinin, gereken minimum derecelendirmeden daha düşük olduğuna dikkat edin. Bu, girilen bir şifre yapılandırdığınız kuralların dışında kalırsa şifrenin 2 olarak derecelendirildiği ve bu nedenle geçersiz olduğu (minimum derecelendirme 3'tür) anlamına gelir.

Aşağıda, şifre özelliklerini tanımlayan normal ifadeler verilmiştir. Her bir girişin numaralandırıldığını unutmayın. Örneğin, "password.validation.regex.5=…" 5. ifadedir. Bu sayıları, genel şifre gücünü belirleyen farklı kombinasyonlar oluşturmak için dosyanın sonraki bir bölümünde kullanacaksınız.

conf_security_password.validation.regex.1=^(.)\\1+$

1 – Tüm karakterler tekrarlanır

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – En az bir küçük harf

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3: En az bir büyük harf

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – En az bir rakam

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – En az bir özel karakter (alt çizgi _ hariç)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – En az bir alt çizgi

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 - Birden fazla küçük harf

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – Birden fazla büyük harf

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – Birden fazla basamak

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – Birden fazla özel karakter (alt çizgi hariç)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – Birden fazla alt çizgi

Aşağıdaki kurallar, şifre içeriğine göre şifre gücünü belirler. Her kural, önceki bölümdeki bir veya daha fazla normal ifadeyi içerir ve bu ifadeye sayısal bir güçlülük atar. Bir şifrenin geçerli olup olmadığını belirlemek için şifrenin sayısal gücü, bu dosyanın üst kısmındaki conf_security_password.validation.minimum.rating.required sayısıyla karşılaştırılır.

conf_security_password.validation.rule.1=1,VE,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,VE,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,VE,3

Her kural numaralandırılmıştır. Örneğin, "password.validation.rule.3=..." 3. kuraldır.

Her kuralda aşağıdaki biçim kullanılır (eşit işaretinin sağında):

<regex-index-list>,<AND|OR>,<rating>

regex-index-list, AND|OR operatörü (yani listelenen ifadelerin tümünü veya her birini göz önünde bulundurun) ile birlikte normal ifadelerin (önceki bölümdeki sayıya göre) listesidir.

derecelendirme, her kurala verilen sayısal güç derecelendirmesidir.

Örneğin, 5. kurala göre en az bir özel karakter VEYA bir alt çizgi içeren tüm şifreler 4 puan alır. password.validation.minimum ile.
Rating.required=3 ise dosyanın en üstünde 4 derecelendirmeye sahip olan bir şifre geçerlidir.

conf_security_rbac.password.validation.enabled=true

Tek Oturum Açma (TOA) etkinleştirildiğinde rol tabanlı erişim denetimi şifre doğrulamasını yanlış olarak ayarlayın. Varsayılan değer true (doğru) değerini alır.

Cassandra şifresini sıfırlama

Cassandra, varsayılan olarak kimlik doğrulama devre dışı olarak gönderilir. Kimlik doğrulamayı etkinleştirirseniz 'cassandra' adlı ve cassandra şifresine sahip önceden tanımlanmış bir kullanıcı kullanılır. Bu hesabı kullanabilir, bu hesap için farklı bir şifre ayarlayabilir veya yeni bir Cassandra kullanıcısı oluşturabilirsiniz. Cassandra CREATE/ALTER/DROP USER ifadelerini kullanarak kullanıcı ekleyin, kaldırın ve değiştirin.

Cassandra kimlik doğrulamasını etkinleştirme hakkında bilgi edinmek için Cassandra kimlik doğrulamasını etkinleştirme başlıklı makaleyi inceleyin.

Cassandra şifresini sıfırlamak için:

  • Şifre, herhangi bir Cassandra düğümünde ayarlandığında halkadaki tüm Cassandra düğümlerine yayınlanır
  • Her düğümdeki Yönetim Sunucusu, Mesaj İşleyenler, Yönlendiriciler, Qpid sunucuları, Postgres sunucuları ve BaaS Stack'i yeni şifreyle güncelleyin

Daha fazla bilgi için http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html adresini ziyaret edin.

Cassandra şifresini sıfırlamak için:

  1. cqlsh aracını ve varsayılan kimlik bilgilerini kullanarak herhangi bir Cassandra düğümüne giriş yapın. Yalnızca bir Cassandra düğümündeki şifreyi değiştirmeniz gerekir. Bu şifre, halkadaki tüm Cassandra düğümlerine yayınlanır:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Burada:
    • cassIP, Cassandra düğümünün IP adresidir.
    • 9042, Cassandra bağlantı noktasıdır.
    • Varsayılan kullanıcı cassandra'dır.
    • Varsayılan şifre cassandra'dır. Şifrenizi daha önce değiştirdiyseniz mevcut
  2. Şifre güncellemek için cqlsh> istemi olarak aşağıdaki komutu çalıştırın:
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Yeni şifre tek tırnak karakteri içeriyorsa önüne tek tırnak karakteri koyarak karakterden kaçının.
  3. cqlsh aracından çıkın:
    cqlsh> exit










  4. CASS_USERNAME
  5. Aşağıdaki cihazlarda 4. adımı tekrarlayın:
    • Tüm Mesaj İşleyiciler
    • Tüm Yönlendiriciler
    • Tüm Qpid sunucuları (edge-qpid-server)
    • Postgres sunucuları (edge-postgres-server)
  6. 4.16.05.04 ve sonraki sürümler için BaaS Yığını düğümünde:
    1. Şifrelenmiş bir şifre oluşturmak için aşağıdaki komutu çalıştırın:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Bu komut, düz metin şifresini ister ve şifrelenmiş şifreyi şu biçimde döndürür:
      SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. /opt/apigee/customer/application/usergrid.properties dosyasında aşağıdaki jetonları ayarlayın. Bu dosya yoksa oluşturun:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050

      Bu örnekte Cassandra için varsayılan kullanıcı adı kullanılır. Kullanıcı adını değiştirdiyseniz usergrid-deployment_cassandra.username değerini buna göre ayarlayın.

      Şifreye "SECURE:" ön ekini eklediğinizden emin olun. Aksi takdirde BaaS Stack, değeri şifrelenmemiş olarak yorumlar.

      Not: Her BaaS Yığını düğümünün, şifreyi şifrelemek için kullanılan kendi benzersiz anahtarı vardır. Bu nedenle, şifrelenmiş değeri her BaaS Stack düğümünde ayrı ayrı oluşturmanız gerekir.
    3. usergrid.properties dosyasının sahipliğini "apigee" kullanıcısına değiştirin:
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Stack düğümünü yapılandırın:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. BaaS yığınını yeniden başlatın:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. Bu adımları tüm BaaS Stack nod'ları için tekrarlayın.

Cassandra şifresi değiştirildi.

PostgreSQL şifresini sıfırlama

PostgreSQL veritabanında varsayılan olarak iki kullanıcı tanımlanır: "postgres" ve "apigee". Her iki kullanıcının da varsayılan şifresi "postgres"tir. Varsayılan şifreyi değiştirmek için aşağıdaki prosedürü uygulayın.

Tüm Postgres ana düğümlerinde şifreyi değiştirin. Ana/bekleme modunda yapılandırılmış iki Postgres sunucunuz varsa yalnızca ana düğümdeki şifreyi değiştirmeniz gerekir. Daha fazla bilgi için Postgres için Ana-Yedek Kopyalama ayarlama başlıklı makaleyi inceleyin.

  1. Ana Postgres düğümünde dizini /opt/apigee/apigee-postgresql/pgsql/bin olarak değiştirin.
  2. PostgreSQL "postgres" kullanıcı şifresini ayarlayın:
    1. Şu komutu kullanarak PostgreSQL veritabanına giriş yapın:
      > psql -h localhost -d Apigee -U postgres
    2. İstendiğinde "postgres" kullanıcı şifresini "postgres" olarak girin.
    3. Varsayılan şifreyi değiştirmek için PostgreSQL komut isteminde aşağıdaki komutu girin:
      apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234';
    4. Aşağıdaki komutu kullanarak PostgreSQL veritabanından çıkın:
      apigee=> \q
  3. PostgreSQL "apigee" kullanıcı şifresini ayarlayın:
    1. Şu komutu kullanarak PostgreSQL veritabanına giriş yapın:
      > psql -h localhost -d Apigee -U Apigee
    2. İstendiğinde "apigee" kullanıcı şifresini "postgres" olarak girin.
    3. Varsayılan şifreyi değiştirmek için PostgreSQL komut isteminde aşağıdaki komutu girin:
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
    4. Aşağıdaki komutu kullanarak PostgreSQL veritabanından çıkın:
      apigee=> \q
  4. APIGEE_HOME ayarını yapın:
    > dışa aktar APIGEE_HOME=/opt/futbol/edge-postgres-server
  5. Yeni şifreyi şifreleyin:
    > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Bu komut, şifrelenmiş şifreyi aşağıda gösterildiği gibi döndürür. Şifrelenmiş şifre ":" karakterinden sonra başlar ve ":" karakterini içermez.
    Şifrelenmiş dize :WheaR8U4OeMEM11erxA3Cw==
  6. Yönetim Sunucusu düğümünü, "postgres" ve 'Apigee' kullanıcıları için yeni şifrelenmiş şifrelerle güncelleyin.
    1. Yönetim sunucusunda dizini /opt/apigee/customer/application olarak değiştirin.
    2. management-server.properties dosyasını düzenleyerek aşağıdaki özellikleri ayarlayın. Bu dosya yoksa dosyayı oluşturun:
      Not: Bazı mülkler şifrelenmiş "postgres" kullanıcı şifresini, bazı mülkler ise şifrelenmiş "apigee" kullanıcı şifresini kullanır.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Dosyanın sahibi olarak 'Apigee' user olduğundan emin olun:
      > chown Apigee:Apigee: management-server.properties
  7. Tüm Postgres Server ve Qpid Server düğümlerini yeni şifrelenmiş şifreyle güncelleyin.
    1. Postgres Server veya Qpid Server düğümünde dizini /opt/apigee/customer/application olarak değiştirin.
    2. Aşağıdaki dosyaları düzenleyin. Bu dosyalar yoksa oluşturun:
      • postgres-server.properties
      • qpid-server.properties
    3. Dosyalara aşağıdaki özellikleri ekleyin:
      Not: Bu özelliklerin tümü şifrelenmiş "postgres" kullanıcı şifresini alır.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Dosyaların 'Apigee' user'a ait olduğundan emin olun:
      > chown Apigee:fuara postgres-server.properties
      > chown Apigee:biçimlendirme qpid-server.properties
  8. Aşağıdaki bileşenleri bu sırayla yeniden başlatın:
    1. PostgreSQL veritabanı:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Qpid Sunucusu:
      > /opt/ gelir/Apigee/Apigee-service/bin/ destek-hizmeti uç-qpid-server başlatma
    3. Postgres sunucusu:
      > /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Yönetim sunucusu:
      > /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart