适用于私有云的 Edge v. 4.17.09
安装完成后,您可以重置 OpenLDAP、Apigee Edge 系统管理员、Edge 组织用户和 Cassandra 密码。
重置 OpenLDAP 密码
根据您的 Edge 配置,OpenLDAP 可以安装为:
- 在管理服务器节点上安装的单个 OpenLDAP 实例。例如,在 2 节点、5 节点或 9 节点 Edge 配置中。
- 在管理服务器节点上安装的多个 OpenLDAP 实例,配置了 OpenLDAP 复制。例如,在 12 节点 Edge 配置中。
- 在各自的节点上安装多个 OpenLDAP 实例,并配置为使用 OpenLDAP 复制。例如,在 13 节点 Edge 配置中。
重置 OpenLDAP 密码的方式取决于您的配置。
对于在管理服务器上安装的单个 OpenLDAP 实例,请执行以下操作:
- 在管理服务器节点上,运行以下命令以创建新的 OpenLDAP 密码:
> /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword - 运行以下命令以存储新密码以供管理服务器访问:
> /opt/apigee/apigee-service/bin/apigee-service Edge-management-server store_ldap_credentials -p newPword
此命令会重启管理服务器。
在在管理服务器节点上安装了 OpenLDAP 的 OpenLDAP 复制设置中,请在两个管理服务器节点上按照上述步骤更新密码。
在将 OpenLDAP 放置在管理服务器以外的节点上的 OpenLDAP 复制设置中,请确保您先更改两个 OpenLDAP 节点的密码,然后再更改两个管理服务器节点的密码。
重置系统管理员密码
如需重置系统管理员密码,您需要在两个位置重置密码:
- 管理服务器
- 界面
警告:您应先停止 Edge 界面,然后再重置系统管理员密码。由于您是先在管理服务器上重置密码,因此界面可能会在短时间内仍使用旧密码。如果界面使用旧密码进行三次以上调用,OpenLDAP 服务器会将系统管理员账号锁定三分钟。
如需重置系统管理员密码,请执行以下操作:
- 在界面节点上,停止 Edge 界面:
> /opt/apigee/apigee-service/bin/apigee-service edge-ui stop - 在管理服务器上,运行以下命令以重置密码:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW - 修改用于安装 Edge 界面的静默配置文件,以设置以下属性:
APIGEE_ADMINPW=newPW
SMTPHOST=smtp.gmail.com
SMTPPORT=465
SMTPPORTUSER=foo@gmail.com
SMTPSSL=y 将 SMTP 密码传递至 SMTP 新密码时,SMTP SSLFROM="My Company <myco@company.com>"
- 使用 apigee-setup 实用程序从配置文件重置 Edge 界面上的密码:
> /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile - (仅限在界面上启用了 TLS)如为管理界面配置 TLS 中所述,在边缘界面上重新启用 TLS。
在具有多个管理服务器的 OpenLDAP 复制环境中,重置一个管理服务器的密码会自动更新另一个管理服务器。不过,您必须单独更新所有 Edge 界面节点。
重置组织用户密码
如需为组织用户重置密码,请使用 apigee-servce 实用程序调用 apigee-setup:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
例如:
> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword
下面显示了可与“-f”选项搭配使用的示例配置文件:
USER_NAME= user@myCo.com USER_PWD= "foo12345" APIGEE_ADMINPW= adminPword
您还可以使用 Update user API 更改用户密码。
系统管理员和组织用户密码规则
您可以使用本部分为 API 管理用户强制执行所需的密码长度和强度级别。这些设置使用一系列预配置(且编号唯一)的正则表达式来检查密码内容(例如大写字母、小写字母、数字和特殊字符)。将这些设置写入 /opt/apigee/customer/application/management-server.properties 文件。如果该文件不存在,请创建该文件。
修改 management-server.properties 后,请重启管理服务器:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
然后,您可以通过对正则表达式的不同组合进行分组来设置密码强度评分。例如,您可以确定包含至少 1 个大写字母和 1 个小写字母的密码的强度评分为“3”,但包含至少 1 个小写字母和 1 个数字的密码的强度评分为更高的“4”。
|
媒体资源 |
说明 |
|---|---|
|
conf_security_password.validation.minimum. conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum。 |
使用这些凭据可确定有效密码的总体特征。密码强度的默认最低评分(如表稍后部分所述)为 3。 请注意,password.validation.default.rating=2 低于所需的最低评分,这意味着,如果输入的密码不符合您配置的规则,则该密码的评分为 2,因此无效(低于最低评分 3)。 |
|
以下是用于标识密码特征的正则表达式。请注意,每个选项都有编号。例如,“password.validation.regex.5=…” 是表达式 5。您将在文件的后面部分使用这些数字来设置不同的组合,以确定密码的整体强度。 |
|
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1 - 所有字符重复 |
|
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2 – 至少一个小写字母 |
|
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3 - 至少包含 1 个大写字母 |
|
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4 – 至少一位数字 |
|
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5 - 至少包含一个特殊字符(不包括下划线 _) |
|
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6 – 至少一条下划线 |
|
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7 - 包含多个小写字母 |
|
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8 - 包含多个大写字母 |
|
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9 - 超过 1 位数字 |
|
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10 - 包含多个特殊字符(不包括下划线) |
|
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11 - 包含多个下划线 |
|
以下规则会根据密码内容确定密码强度。 每条规则都包括前一部分中的一个或多个正则表达式,并向其分配数值强度。系统会将密码的数字强度与此文件顶部的 conf_security_password.validation.minimum.rating.required 数字进行比较,以确定密码是否有效。 |
|
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
每条规则都有编号。例如,“password.validation.rule.3=…”是规则 3。 每个规则均采用以下格式(等号右侧): <regex-index-list>,<AND|OR>,<rating> regex-index-list 是正则表达式列表(按上一部分中的编号排序),以及 AND|OR 运算符(表示,考虑列出的所有表达式或其中任意一个表达式)。 rating 是指为每条规则分配的数值强度评分。 例如,规则 5 表示,包含至少 1 个特殊字符或 1 个下划线的任何密码都会获得 4 分。使用 password.validation.minimum。 |
|
conf_security_rbac.password.validation.enabled=true |
启用单点登录 (SSO) 后,将基于角色的访问权限控制密码验证设置为 false。默认值为 true。 |
重置 Cassandra 密码
默认情况下,Cassandra 在发货时处于身份验证停用状态。如果您启用身份验证,它将使用名为 'cassandra' 且密码为 cassandra 的预定义用户。您可以使用此账号,为此账号设置其他密码,或创建新的 Cassandra 用户。使用 Cassandra CREATE/ALTER/DROP USER 语句添加、移除和修改用户。
如需了解如何启用 Cassandra 身份验证,请参阅启用 Cassandra 身份验证。
要重置 Cassandra 密码,您必须执行以下操作:
- 在任何一个 Cassandra 节点上设置密码,密码将广播到环中的所有 Cassandra 节点
- 使用新密码更新每个节点上的管理服务器、消息处理器、路由器、Qpid 服务器、Postgres 服务器和 BaaS 堆栈
如需了解详情,请参阅 http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html。
如需重置 Cassandra 密码,请执行以下操作:
- 使用 cqlsh 工具和默认凭据登录任意 Cassandra 节点。您只需更改一个 Cassandra 节点的密码,该密码就会广播到环中的所有 Cassandra 节点:
> /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
其中:- cassIP 是 Cassandra 节点的 IP 地址。
- 9042 是 Cassandra 端口。
- 默认用户为 cassandra。
- 默认密码为 cassandra。如果您之前更改过密码,请使用当前密码。
- 在 cqlsh> 提示下运行以下命令以更新密码:
cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
如果新密码包含单引号字符,请在其前面添加单引号字符以对其进行转义。 - 退出 cqlsh 工具:
cqlsh> exit - 在管理服务器节点上,运行以下命令:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
您还可以选择向包含新用户名和密码的命令传递文件:
> apigee-service edge-management-server store_cassandra_credentials -f configFile
其中,configFile 包含以下内容:
CASS_USERNAME=CASS_USERNAME
CASS_PASSWORD=CASS_PASSWROD
此命令会自动重启管理服务器。 - 针对以下各项重复第 4 步:
- 所有消息处理器
- 所有路由器
- 所有 Qpid 服务器 (edge-qpid-server)
- Postgres 服务器 (edge-postgres-server)
- 对于版本 4.16.05.04 及更高版本的 BaaS 堆栈节点:
- 运行以下命令以生成加密密码:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password
此命令会提示您输入明文密码,并以以下格式返回加密密码:
SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050 - 在 /opt/apigee/customer/application/usergrid.properties 中设置以下令牌。
如果该文件不存在,请创建该文件:
usergrid-deployment_cassandra.username=cassandra
usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
此示例使用 Cassandra 的默认用户名。如果您更改了用户名,请相应地设置 usergrid-deployment_cassandra.username 的值。
请确保在密码中添加“SECURE:”前缀。 否则,BaaS 堆栈会将该值解读为未加密。
注意:每个 BaaS 堆栈节点都有自己的唯一密钥,用于加密密码。因此,您必须在每个 BaaS Stack 节点上单独生成加密值。 - 将 usergrid.properties 文件的所有权更改为“apigee”用户:
> chown apigee:apigee /opt/apigee/customer/application/usergrid.properties - 配置堆栈节点:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure - 重启 BaaS 堆栈:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart - 对所有 BaaS Stack 节点重复上述步骤。
- 运行以下命令以生成加密密码:
Cassandra 密码现已更改。
重置 PostgreSQL 密码
默认情况下,PostgreSQL 数据库定义了两个用户:“postgres”和“apigee”。 这两个用户的默认密码均为“postgres”。请按照以下步骤更改默认密码。
更改所有 Postgres 主节点上的密码。如果您在主/备用模式下配置了两个 Postgres 服务器,则只需更改主节点上的密码。如需了解详情,请参阅为 Postgres 设置主-从站复制。
- 在主 Postgres 节点上,将目录更改为 /opt/apigee/apigee-postgresql/pgsql/bin。
- 设置 PostgreSQL“postgres”用户密码:
- 使用以下命令登录 PostgreSQL 数据库:
> psql -h localhost -d apigee -U postgres - 出现提示时,输入“postgres”用户密码“postgres”。
- 在 PostgreSQL 命令提示符下,输入以下命令以更改默认密码:
apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234'; - 使用以下命令退出 PostgreSQL 数据库:
apigee=> \q
- 使用以下命令登录 PostgreSQL 数据库:
- 设置 PostgreSQL“apigee”用户密码:
- 使用以下命令登录 PostgreSQL 数据库:
> psql -h localhost -d apigee -U apigee - 出现提示时,输入“apigee”用户密码“postgres”。
- 在 PostgreSQL 命令提示符中,输入以下命令以更改默认密码:
apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234'; - 使用以下命令退出 PostgreSQL 数据库:
apigee=> \q
- 使用以下命令登录 PostgreSQL 数据库:
- 设置 APIGEE_HOME:
> export APIGEE_HOME=/opt/apigee/edge-postgres-server - 加密新密码:
> sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
此命令会返回加密的密码,如下所示。加密密码在“:”字符后面开始,并且不包含“:”。
加密字符串 :WheaR8U4OeMEM11erxA3Cw== - 使用“postgres”和“apigee”用户的新加密密码更新 Management Server 节点。
- 在管理服务器上,更改目录为 /opt/apigee/customer/application。
- 修改 management-server.properties 文件以设置以下属性。如果此文件不存在,请创建该文件:
注意:某些媒体资源使用加密的“postgres”用户密码,而某些媒体资源使用加密的“apigee”用户密码。- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- 确保该文件归“apigee”用户所有:
> chown apigee:apigee management-server.properties
- 使用新的加密密码更新所有 Postgres 服务器和 Qpid 服务器节点。
- 在 Postgres 服务器或 Qpid 服务器节点上,将目录更改为 /opt/apigee/customer/application。
- 修改以下文件。如果这些文件不存在,请创建:
- postgres-server.properties
- qpid-server.properties
- 将以下属性添加到文件中:
注意:所有这些属性都采用加密的“postgres”用户密码。- conf_pg-agent_password=newEncryptedPasswordForPostgresUser
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
- conf_analytics_aries.pg.password=newEncryptedPasswordForPostgres用户
- 确保文件归“apigee”用户所有:
> chown apigee:apigee:apigee postgres-server.properties
> chown apigee:apigee qpid-server.properties
- 请按以下顺序重启以下组件:
- PostgreSQL 数据库:
> /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart - Qpid 服务器:
> /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart - Postgres 服务器:
> /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart - 管理服务器:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- PostgreSQL 数据库: