Đặt lại mật khẩu Edge

Edge for Private Cloud phiên bản 4.17.09

Bạn có thể đặt lại OpenLDAP, quản trị viên hệ thống Apigee Edge, người dùng tổ chức Edge và mật khẩu Cassandra sau khi cài đặt xong.

Đặt lại mật khẩu OpenLDAP

Tuỳ thuộc vào cấu hình Edge, bạn có thể cài đặt OpenLDAP dưới dạng:

  • Một thực thể OpenLDAP được cài đặt trên nút Máy chủ quản lý. Ví dụ: trong cấu hình Edge gồm 2 nút, 5 nút hoặc 9 nút.
  • Nhiều thực thể OpenLDAP được cài đặt trên các nút Máy chủ quản lý, được định cấu hình bằng tính năng sao chép OpenLDAP. Ví dụ: trong cấu hình Edge có 12 nút.
  • Nhiều phiên bản OpenLDAP được cài đặt trên các nút riêng, được định cấu hình bằng tính năng sao chép OpenLDAP. Ví dụ: trong cấu hình Edge có 13 nút.

Cách đặt lại mật khẩu OpenLDAP tuỳ thuộc vào cấu hình của bạn.

Đối với một thực thể OpenLDAP được cài đặt trên Máy chủ quản lý, hãy thực hiện như sau:

  1. Trên nút Máy chủ quản lý, hãy chạy lệnh sau để tạo mật khẩu OpenLDAP mới:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. Chạy lệnh sau để lưu trữ mật khẩu mới để Máy chủ quản lý truy cập:
    > /opt/apigee/apigee-service/bin/apigee-service cạnh-management-server store_ldap_credentials -p newPword

    Lệnh này sẽ khởi động lại Máy chủ quản lý.

Trong quá trình thiết lập tính năng sao chép OpenLDAP với OpenLDAP được cài đặt trên các nút Máy chủ quản lý, hãy làm theo các bước trên trên cả hai nút Máy chủ quản lý để cập nhật mật khẩu.

Trong quá trình thiết lập tính năng sao chép OpenLDAP với OpenLDAP nằm trên một nút khác với Máy chủ quản lý, trước tiên, hãy đảm bảo bạn thay đổi mật khẩu trên cả hai nút OpenLDAP, sau đó thay đổi mật khẩu trên cả hai nút Máy chủ quản lý.

Đặt lại mật khẩu của quản trị viên hệ thống

Để đặt lại mật khẩu quản trị viên hệ thống, bạn cần đặt lại mật khẩu ở hai nơi:

  • Máy chủ quản lý
  • Giao diện người dùng

Cảnh báo: Bạn nên dừng giao diện người dùng Edge trước khi đặt lại mật khẩu quản trị viên hệ thống. Vì bạn đặt lại mật khẩu trước trên Máy chủ quản lý, nên có thể có một khoảng thời gian ngắn khi giao diện người dùng vẫn đang sử dụng mật khẩu cũ. Nếu giao diện người dùng thực hiện nhiều hơn 3 lệnh gọi bằng mật khẩu cũ, máy chủ OpenLDAP sẽ khoá tài khoản quản trị viên hệ thống trong 3 phút.

Cách đặt lại mật khẩu của quản trị viên hệ thống:

  1. Trên nút giao diện người dùng, hãy dừng giao diện người dùng Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Trên Máy chủ quản lý, hãy chạy lệnh sau để đặt lại mật khẩu:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. Chỉnh sửa tệp cấu hình im lặng mà bạn đã dùng để cài đặt giao diện người dùng Edge để đặt các thuộc tính sau:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

    Xin lưu ý rằng bạn phải đưa các thuộc tính SMTP vào khi truyền mật khẩu mới vì tất cả thuộc tính trên giao diện người dùng sẽ được đặt lại.
  4. Sử dụng tiện ích apigee-setup để đặt lại mật khẩu trên giao diện người dùng Edge từ tệp cấu hình:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Chỉ khi TLS được bật trên giao diện người dùng) Bật lại TLS trên giao diện người dùng Edge như mô tả trong phần Định cấu hình TLS cho giao diện người dùng quản lý.

Trong môi trường sao chép OpenLDAP có nhiều Máy chủ quản lý, việc đặt lại mật khẩu trên một Máy chủ quản lý sẽ tự động cập nhật Máy chủ quản lý còn lại. Tuy nhiên, bạn phải cập nhật riêng tất cả các nút giao diện người dùng Edge.

Đặt lại mật khẩu của người dùng trong tổ chức

Để đặt lại mật khẩu cho người dùng tổ chức, hãy sử dụng tiện ích apigee-servce để gọi apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Ví dụ:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

Dưới đây là một tệp cấu hình mẫu mà bạn có thể sử dụng với tuỳ chọn "-f":

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

Bạn cũng có thể sử dụng API Cập nhật người dùng để thay đổi mật khẩu người dùng.

Quy tắc về mật khẩu người dùng của tổ chức và quản trị viên hệ thống

Sử dụng phần này để thực thi độ dài và độ mạnh mong muốn của mật khẩu cho người dùng quản lý API. Các chế độ cài đặt này sử dụng một loạt biểu thức chính quy được định cấu hình trước (và được đánh số riêng biệt) để kiểm tra nội dung mật khẩu (chẳng hạn như chữ hoa, chữ thường, chữ số và ký tự đặc biệt). Ghi các chế độ cài đặt này vào tệp /opt/apigee/customer/application/management-server.properties. Nếu tệp đó không tồn tại, hãy tạo tệp.

Sau khi chỉnh sửa management-server.properties, hãy khởi động lại máy chủ quản lý:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Sau đó, bạn có thể đặt điểm xếp hạng độ mạnh mật khẩu bằng cách nhóm các tổ hợp biểu thức chính quy lại với nhau. Ví dụ: bạn có thể xác định rằng một mật khẩu có ít nhất một chữ hoa và một chữ cái viết thường sẽ có điểm xếp hạng độ mạnh là "3", nhưng mật khẩu có ít nhất một chữ cái viết thường và một số sẽ có điểm xếp hạng cao hơn là "4".

Thuộc tính

Nội dung mô tả

conf_security_password.runtime.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.Dữ liệu hợp lệ.
rating.required=3

Sử dụng những mật khẩu này để xác định đặc điểm chung của mật khẩu hợp lệ. Điểm xếp hạng tối thiểu mặc định cho độ mạnh của mật khẩu (được mô tả ở phần sau của bảng) là 3.

Lưu ý rằng password.validation.default.rating=2 thấp hơn điểm xếp hạng tối thiểu bắt buộc, nghĩa là nếu mật khẩu được nhập nằm ngoài các quy tắc mà bạn định cấu hình, thì mật khẩu đó sẽ được xếp hạng 2 và do đó không hợp lệ (dưới điểm xếp hạng tối thiểu là 3).

Sau đây là các biểu thức chính quy xác định các đặc điểm của mật khẩu. Lưu ý rằng mỗi phần tử đều được đánh số. Ví dụ: "password.validation.regex.5=…" là biểu thức số 5. Bạn sẽ sử dụng các số này trong phần sau của tệp để đặt nhiều tổ hợp khác nhau giúp xác định độ mạnh tổng thể của mật khẩu.

conf_security_password.validation.regex.1=^(.)\\1+$

1 – Tất cả các ký tự lặp lại

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – Ít nhất một chữ cái viết thường

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – Có ít nhất một chữ cái viết hoa

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – Có ít nhất một chữ số

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – Có ít nhất một ký tự đặc biệt (không bao gồm dấu gạch dưới _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – Ít nhất một dấu gạch dưới

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 – Nhiều chữ cái viết thường

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – Có nhiều chữ cái viết hoa

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – Nhiều hơn một chữ số

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – Có nhiều ký tự đặc biệt (không bao gồm dấu gạch dưới)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – Nhiều dấu gạch dưới

Các quy tắc sau đây xác định độ mạnh của mật khẩu dựa trên nội dung mật khẩu. Mỗi quy tắc bao gồm một hoặc nhiều biểu thức chính quy từ phần trước và gán một độ mạnh dạng số cho quy tắc đó. Độ mạnh của mật khẩu được so sánh với số conf_security_password.validation.minimum.rating.required ở đầu tệp này để xác định xem mật khẩu có hợp lệ hay không.

conf_security_password.Dữ liệu hợp lệ.quy tắc.1=1,VÀ,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.processing.rules.4=3,9,VÀ,4

conf_security_password.Dữ liệu hợp lệ.quy tắc.5=5,6,HOẶC,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.processing.rules.8=3,9,VÀ,3

Mỗi quy tắc được đánh số. Ví dụ: "password.validation.rule.3=…" là quy tắc số 3.

Mỗi quy tắc sử dụng định dạng sau (bên phải dấu bằng):

<danh-sach-chỉ-mục-bằng-biểu-thức-tìm-kiếm>,<AND|OR>,<điểm-danh-gia>

regex-index-list là danh sách biểu thức chính quy (theo số từ phần trước), cùng với toán tử AND|OR (nghĩa là xem xét tất cả hoặc bất kỳ biểu thức nào được liệt kê).

rating là điểm xếp hạng về độ mạnh dạng số được đưa ra cho mỗi quy tắc.

Ví dụ: quy tắc 5 có nghĩa là mọi mật khẩu có ít nhất một ký tự đặc biệt HOẶC một dấu gạch dưới sẽ được xếp hạng độ mạnh là 4. Với mật khẩu.authentication.minimum.
Xếp hạng.required=3 ở đầu tệp, mật khẩu có điểm xếp hạng 4 là hợp lệ.

conf_security_rbac.password.validation.enabled=true

Đặt tính năng xác thực mật khẩu của tính năng kiểm soát quyền truy cập dựa trên vai trò thành false khi bật tính năng đăng nhập một lần (SSO). Mặc định là đúng.

Đặt lại mật khẩu Cassandra

Theo mặc định, Cassandra sẽ được vận chuyển ở trạng thái tắt tính năng xác thực. Nếu bạn bật tính năng xác thực, tính năng này sẽ sử dụng một người dùng được xác định trước có tên là 'cassandra' với mật khẩu là 'cassandra'. Bạn có thể sử dụng tài khoản này, đặt mật khẩu khác cho tài khoản này hoặc tạo người dùng Cassandra mới. Thêm, xoá và sửa đổi người dùng bằng cách sử dụng câu lệnh CREATE/ALTER/DROP USER của Cassandra.

Để biết thông tin về cách bật tính năng xác thực Cassandra, hãy xem phần Bật tính năng xác thực Cassandra.

Để đặt lại mật khẩu Cassandra, bạn phải:

  • Đặt mật khẩu trên bất kỳ nút Cassandra nào và mật khẩu đó sẽ được truyền đến tất cả nút Cassandra trong vòng tròn
  • Cập nhật Máy chủ quản lý, Trình xử lý thông báo, Bộ định tuyến, máy chủ Qpid, máy chủ Postgres và ngăn xếp BaaS trên mỗi nút bằng mật khẩu mới

Để biết thêm thông tin, hãy xem http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Cách đặt lại mật khẩu Cassandra:

  1. Đăng nhập vào một nút Cassandra bất kỳ bằng công cụ cqlsh và thông tin đăng nhập mặc định. Bạn chỉ cần thay đổi mật khẩu trên một nút Cassandra và mật khẩu này sẽ được truyền đến tất cả các nút Cassandra trong vòng tròn:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Trong đó:
    • cassIP là địa chỉ IP của nút Cassandra.
    • 9042 là cổng Cassandra.
    • Người dùng mặc định là cassandra.
    • Mật khẩu mặc định là cassandra. Nếu bạn đã đổi mật khẩu trước đó, hãy sử dụng mật khẩu hiện tại.
  2. Chạy lệnh sau theo lời nhắc cqlsh> để cập nhật mật khẩu:
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Nếu mật khẩu mới chứa ký tự dấu ngoặc kép đơn, hãy thoát khỏi mật khẩu đó bằng cách đặt trước mật khẩu một ký tự dấu ngoặc kép đơn.
  3. Thoát khỏi công cụ cqlsh:
    cqlsh> thoát
  4. Trên nút Máy chủ quản lý, hãy chạy lệnh sau:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Nếu muốn, bạn có thể chuyển một tệp đến lệnh chứa tên người dùng và mật khẩu mới:
    > apigee-service edge-management-server store_cassandra_credentials -f configFile

    Trong đó configFile chứa nội dung sau:
    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD

    Lệnh này sẽ tự động khởi động lại Máy chủ quản lý.
  5. Lặp lại bước 4 trên:
    • Tất cả bộ xử lý thông báo
    • Tất cả bộ định tuyến
    • Tất cả máy chủ Qpid (edge-qpid-server)
    • Máy chủ Postgres (edge-postgres-server)
  6. Trên nút ngăn xếp BaaS cho phiên bản 4.16.05.04 trở lên:
    1. Chạy lệnh sau để tạo mật khẩu đã mã hoá:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Lệnh này sẽ nhắc bạn nhập mật khẩu văn bản thuần tuý và trả về mật khẩu đã mã hoá ở dạng:
      SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. Đặt các mã thông báo sau trong /opt/apigee/customer/application/usergrid.properties. Nếu tệp đó không tồn tại, hãy tạo tệp:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050

      Ví dụ này sử dụng tên người dùng mặc định cho Cassandra. Nếu bạn đã thay đổi tên người dùng, hãy đặt giá trị của usergrid-deployment_cassandra.username cho phù hợp.

      Đảm bảo rằng bạn thêm tiền tố "SECURE:" vào mật khẩu. Nếu không, ngăn xếp BaaS sẽ diễn giải giá trị đó là chưa mã hoá.

      Lưu ý: Mỗi nút trong ngăn xếp BaaS đều có một khoá riêng dùng để mã hoá mật khẩu. Do đó, bạn phải tạo giá trị đã mã hoá trên từng nút trong ngăn xếp BaaS.
    3. Thay đổi quyền sở hữu của tệp usergrid.properties thành người dùng "apigee":
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Định cấu hình nút Ngăn xếp:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. Khởi động lại ngăn xếp BaaS:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. Lặp lại các bước này cho tất cả các nút trong ngăn xếp BaaS.

Mật khẩu Cassandra hiện đã được thay đổi.

Đặt lại mật khẩu PostgreSQL

Theo mặc định, cơ sở dữ liệu PostgreSQL có hai người dùng được xác định: "postgres" và "apigee". Cả hai người dùng đều có mật khẩu mặc định là "postgres". Hãy làm theo quy trình sau để thay đổi mật khẩu mặc định.

Thay đổi mật khẩu trên tất cả nút chính Postgres. Nếu có 2 máy chủ Postgres được định cấu hình ở chế độ chính/chế độ chờ, thì bạn chỉ phải thay đổi Mật khẩu trên nút chính. Hãy xem phần Thiết lập tính năng sao chép chính-dự phòng cho Postgres để biết thêm thông tin.

  1. Trên nút Chính Postgres, hãy thay đổi thư mục thành /opt/apigee/apigee-postgresql/pgsql/bin.
  2. Đặt mật khẩu người dùng "postgres" của PostgreSQL:
    1. Đăng nhập vào cơ sở dữ liệu PostgreSQL bằng lệnh:
      > psql -h localhost -d apigee -U postgres
    2. Khi được nhắc, hãy nhập mật khẩu người dùng "postgres" là "postgres".
    3. Tại dấu nhắc lệnh PostgreSQL, hãy nhập lệnh sau để thay đổi mật khẩu mặc định:
      apigee=> ALTER USER postgres WITH CODE 'apigee1234';
    4. Thoát khỏi cơ sở dữ liệu PostgreSQL bằng lệnh:
      apigee=> \q
  3. Đặt mật khẩu người dùng "apigee" của PostgreSQL:
    1. Đăng nhập vào cơ sở dữ liệu PostgreSQL bằng lệnh:
      > psql -h localhost -d apigee -U apigee
    2. Khi được nhắc, hãy nhập mật khẩu người dùng "apigee" là "postgres".
    3. Tại dấu nhắc lệnh PostgreSQL, hãy nhập lệnh sau để thay đổi mật khẩu mặc định:
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
    4. Thoát khỏi cơ sở dữ liệu PostgreSQL bằng lệnh:
      apigee=> \q
  4. Đặt APIGEE_HOME:
    > export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Mã hoá mật khẩu mới:
    > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Lệnh này trả về mật khẩu đã mã hoá như minh hoạ bên dưới. Mật khẩu đã mã hoá bắt đầu sau ký tự ":" và không bao gồm ":".
    Chuỗi đã mã hoá :WheaR8U4OeMEM11erxA3Cw==
  6. Cập nhật nút Máy chủ quản lý bằng mật khẩu đã mã hoá mới cho người dùng "postgres" và "apigee".
    1. Trên Máy chủ quản lý, hãy thay đổi thư mục thành /opt/apigee/customer/application.
    2. Chỉnh sửa tệp management-server.properties để đặt các thuộc tính sau. Nếu tệp này không tồn tại, hãy tạo tệp:
      Lưu ý: Một số thuộc tính sử dụng mật khẩu người dùng 'postgres' đã mã hoá và một số thuộc tính sử dụng mật khẩu người dùng 'apigee' đã mã hoá.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Đảm bảo tệp thuộc quyền sở hữu của người dùng "apigee":
      > chown apigee:apigee management-server.properties
  7. Cập nhật tất cả các nút Máy chủ Postgres và Máy chủ Qpid bằng mật khẩu mới được mã hoá.
    1. Trên nút Máy chủ Postgres hoặc Máy chủ Qpid, hãy thay đổi thư mục thành /opt/apigee/customer/application.
    2. Chỉnh sửa các tệp sau. Nếu các tệp này không tồn tại, hãy tạo tệp:
      • postgres-server.properties
      • qpid-server.properties
    3. Thêm các thuộc tính sau vào các tệp:
      Lưu ý: Tất cả các thuộc tính này đều lấy mật khẩu người dùng "postgres" đã mã hoá.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Đảm bảo các tệp thuộc quyền sở hữu của người dùng "apigee":
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. Khởi động lại các thành phần sau theo thứ tự này:
    1. Cơ sở dữ liệu PostgreSQL:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Máy chủ Qpid:
      > /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Máy chủ Postgres:
      > /opt/apigee/apigee-service/bin/apigee-service cạnh-postgres-server khởi động lại
    4. Máy chủ quản lý:
      > /opt/apigee/apigee-service/bin/apigee-service cạnh-management-server khởi động lại