Como redefinir senhas de borda

Edge for Private Cloud v. 4.17.09

É possível redefinir o OpenLDAP, o administrador do sistema do Apigee Edge, o usuário da organização do Edge e Senhas do Cassandra após a conclusão da instalação.

Redefinir senha do OpenLDAP

Dependendo da configuração do Edge, o OpenLDAP pode ser instalado como:

  • Uma única instância do OpenLDAP instalada no nó do servidor de gerenciamento. Por exemplo, em um Configuração do Edge com dois, cinco ou nove nós.
  • Várias instâncias do OpenLDAP instaladas nos nós do servidor de gerenciamento, configuradas com o OpenLDAP de forma consistente. por exemplo, em uma configuração do Edge de 12 nós.
  • Várias instâncias do OpenLDAP instaladas nos próprios nós, configuradas com o OpenLDAP de forma consistente. por exemplo, em uma configuração do Edge de 13 nós.

A maneira de redefinir a senha do OpenLDAP depende da configuração.

Para uma única instância do OpenLDAP instalada no servidor de gerenciamento, execute as seguinte:

  1. No nó do Servidor de gerenciamento, execute o seguinte comando para criar o novo OpenLDAP senha:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword "-n newPword"
  2. Execute o comando a seguir para armazenar a nova senha para acesso pelo departamento de Servidor:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server store_ldap_credentials -p newPword

    Esse comando reinicia o servidor de gerenciamento.

Em uma configuração de replicação do OpenLDAP com o OpenLDAP instalado no Management Server nós, siga as etapas acima nos dois nós do servidor de gerenciamento para atualizar senha.

Em uma configuração de replicação do OpenLDAP com OpenLDAP em um nó diferente de gerenciamento Server, altere primeiro a senha nos dois nós do OpenLDAP e, depois, nos dois nós do servidor de gerenciamento.

Redefinir senha de administrador do sistema

Para redefinir a senha de administrador do sistema, é preciso redefinir a senha em dois locais:

  • Servidor de gerenciamento
  • Interface
.

Aviso: interrompa a interface do Edge antes de redefinir o administrador do sistema senha. Como você redefine a senha primeiro no servidor de gerenciamento, pode haver um pequeno período em que a interface ainda está usando a senha antiga. Se a IU fizer mais de três chamadas usando a senha antiga, o servidor OpenLDAP bloqueia a conta de administrador do sistema por três minutos.

Para redefinir a senha de administrador do sistema:

  1. No nó da interface, interrompa a interface do Edge:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-ui stop
  2. No servidor de gerenciamento, execute o seguinte comando para redefinir a senha:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. Edite o arquivo de configuração silenciosa usado para instalar a interface do Edge para definir o seguinte: propriedades:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="Minha empresa <minhaempresa@empresa.com>"


    Você deve incluir as propriedades SMTP ao passar a nova senha, pois todas as na interface do usuário são redefinidas.
  4. Use o comando apigee-setup para redefinir a senha na interface do usuário do Edge a partir do arquivo de configuração:
    &gt; /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Somente se o TLS estiver ativado na interface) Reative o TLS na interface do Edge como descritas em Como configurar TLS para a interface de gerenciamento.

Em um ambiente de replicação OpenLDAP com vários servidores de gerenciamento, redefinir a senha em um servidor de gerenciamento atualiza o outro servidor de gerenciamento. automaticamente. No entanto, é necessário atualizar todos os nós da interface do Edge separadamente.

Redefinir senha de usuário da organização

Para redefinir a senha de um usuário da organização, use o utilitário apigee-servce para invocar apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h]
 [-u USER_EMAIL]
 [-p USER_PWD]
 [-a ADMIN_EMAIL]
 [-P APIGEE_ADMINPW]
 [-f configFile]

Exemplo:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

Veja abaixo um exemplo de arquivo de configuração que pode ser usado com "-f" opção:

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

Também é possível usar a API Update user para alterar a senha do usuário.

Também é possível usar a API Update user para alterar a senha do usuário.

Senha do administrador do sistema e do usuário da organização Regras

Use esta seção para impor um nível desejado de tamanho e nível de senha para sua API de gerenciamento de identidade e acesso. As configurações usam uma série de papéis regulares pré-configurados (e numerados de forma exclusiva) para verificar o conteúdo da senha (como maiúsculas, minúsculas, números e caracteres). Grave essas configurações em /opt/apigee/customer/application/management-server.properties . Se esse arquivo não existir, crie-o.

Depois de editar management-server.properties, reinicie o servidor de gerenciamento:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Depois, é possível definir classificações de nível de segurança da senha agrupando diferentes combinações de expressões idiomáticas. Por exemplo, você pode determinar que uma senha com pelo menos uma letra maiúscula letra minúscula recebe uma classificação de força "3", mas que uma senha com pelo menos uma letra minúscula letra, e um número recebe uma classificação mais forte, "4".

Propriedades

Descrição

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

Use-os para determinar as características gerais das senhas válidas. O padrão a classificação mínima para o nível da senha (descrito mais adiante na tabela) é 3.

Observe que password.validation.default.rating=2 é menor que a classificação mínima obrigatório, ou seja, se uma senha inserida estiver fora das regras configurar, a senha será classificada como 2 e, portanto, inválida (abaixo do nível mínimo de de 3).

As expressões regulares abaixo identificam características de senhas. Observação que cada um seja numerado. Por exemplo, "password.validation.regex.5=..." é expressão número 5. Você usará esses números em uma seção posterior do arquivo para definir diferentes combinações que determinam o nível geral da senha.

conf_security_password.validation.regex.1=^(.)\\1+$

1 – Todos os caracteres se repetem

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2: pelo menos uma letra minúscula

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – Pelo menos uma letra maiúscula

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – Pelo menos um dígito

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – Pelo menos um caractere especial (não incluindo sublinhado _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – Pelo menos um sublinhado

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7: mais de uma letra minúscula

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – Mais de uma letra maiúscula

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – mais de um dígito

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – mais de um caractere especial (não incluindo sublinhado)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – Mais de um sublinhado

As regras a seguir determinam o nível da senha com base no conteúdo dela. Cada regra inclui uma ou mais expressões regulares da seção anterior e atribui uma força numérica. O nível numérico de uma senha é comparada ao o número conf_security_password.validation.minimum.rating.required na parte de cima do arquivo para determinar se uma senha é válida ou não.

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

Cada regra é numerada. Por exemplo: "password.validation.rule.3=..." é a regra número 3.

Cada regra usa o seguinte formato (à direita do sinal de igual):

&lt;regex-index-list&gt;,&lt;AND|OR&gt;,&lt;rating&gt;

regex-index-list é a lista de expressões regulares (por número de a seção anterior), junto com um operador AND|OR (o que significa considerar todas ou qualquer uma das expressões listadas).

rating é a classificação de força numérica dada a cada regra.

Por exemplo, a regra 5 significa que qualquer senha com pelo menos um caractere especial OU um O sublinhado tem uma classificação de 4. Com senha.validation.minimum.
rating.required=3 na parte superior do arquivo, uma senha com classificação 4 é válida.

conf_security_rbac.password.validation.enabled=true

Definir a validação de senha do controle de acesso baseado em função como falsa quando o Logon único (SSO) está ativado. O padrão é verdadeiro.

Como redefinir a senha do Cassandra

Por padrão, o Cassandra é enviado com a autenticação desativada. Se você ativar a autenticação, ela usa um usuário predefinido chamado 'cassandra' com a senha "cassandra". Você pode usar essa conta, definir um senha diferente para essa conta ou crie um novo usuário do Cassandra. Adicionar, remover e modificar usuários usando as instruções CREATE/ALTER/DROP USER do Cassandra.

Para informações sobre como ativar a autenticação do Cassandra, consulte Ativar o Cassandra autenticação.

Para redefinir a senha do Cassandra, você precisa:

  • Defina a senha em qualquer nó do Cassandra para que ela seja transmitida a todos os nós do Cassandra. no ringue
  • Atualizar o servidor de gerenciamento, processadores de mensagens, roteadores, servidores Qpid e servidores Postgres e pilha de BaaS em cada nó com a nova senha

Para mais informações, consulte http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html (em inglês).

Para redefinir a senha do Cassandra:

  1. Faça login em qualquer nó do Cassandra usando a ferramenta cqlsh e as credenciais padrão. Você só precisará alterar a senha em um nó do Cassandra e ela será transmitida a todos Nós do Cassandra no círculo:
    &gt; /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Em que:
    • cassIP é o IP do nó do Cassandra.
    • 9042 é o Cassandra porta
    • O usuário padrão é cassandra.
    • A senha padrão é cassandra. Se você mudou a senha antes, use a senha atual.
  2. Execute o comando a seguir como o prompt cqlsh&gt; para atualizar o senha:
    cqlsh&gt; ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Se a nova senha tiver um caractere de aspas simples, use um caractere de escape antes dela caractere de aspas.
  3. Saia da ferramenta cqlsh:
    cqlsh&gt; sair
  4. No nó do servidor de gerenciamento, execute o seguinte comando:
    &gt; /opt/apigee/apigee-service/bin/apigee-service Edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Também é possível transmitir um arquivo para o comando contendo o novo nome de usuário e a senha:
    &gt; apigee-service Edge-management-server store_cassandra_credentials -f configFile

    No qual configFile contém o seguintes:
    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD


    Esse comando reinicia automaticamente o servidor de gerenciamento.
  5. Repita a etapa 4:
    • Todos os processadores de mensagens
    • Todos os roteadores
    • Todos os servidores Qpid (edge-qpid-server)
    • Servidores Postgres (edge-postgres-server)
  6. No nó da pilha do BaaS para a versão 4.16.05.04 e mais recentes:
    1. Execute este comando para gerar uma senha criptografada:
      &gt; /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Esse comando solicita a senha em texto simples e retorna a senha criptografada em o formulário:
      SEGURANÇA:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. Defina os tokens a seguir em /opt/apigee/customer/application/usergrid.properties. Se esse arquivo não existir, crie-o:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050


      Este exemplo usa o nome de usuário padrão do Cassandra. Se você alterou o nome de usuário, defina o de usergrid-deployment_cassandra.username adequadamente.

      Não se esqueça de incluir a "SEGURANÇA:" da senha. Caso contrário, a pilha de BaaS interpreta o valor como não criptografado.

      Observação: cada nó de pilha de BaaS tem sua própria chave exclusiva usada para criptografar o senha. Portanto, você precisa gerar o valor criptografado em cada nó de pilha BaaS separadamente.
    3. Altere a propriedade do arquivo usergrid.properties para a "apigee" usuário:
      &gt; chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Configure o nó da pilha:
      &gt; /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. Reinicie a pilha BaaS:
      &gt; /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. Repita essas etapas para todas as indicações do BaaS Stack.

A senha do Cassandra foi alterada.

Redefinindo a senha do PostgreSQL

Por padrão, o banco de dados PostgreSQL tem dois usuários definidos: 'postgres' e "apigee". Ambos os usuários a senha padrão "postgres". Use o procedimento a seguir para alterar o senha.

Altere a senha em todos os nós mestres do Postgres. Se você tiver dois servidores Postgres configurados no modo mestre/de espera, terá que alterar somente a senha no nó mestre. Consulte Configuração Replicação Master-Standby para Postgres (em inglês) para saber mais.

  1. No nó Master Postgres, altere o diretório para /opt/apigee/apigee-postgresql/pgsql/bin.
  2. Defina o PostgreSQL como "postgres" senha do usuário:
    1. Faça login no banco de dados PostgreSQL usando o comando:
      &gt; psql -h localhost -d apigee -U postgres
    2. Quando solicitado, digite "postgres" a senha do usuário como "postgres".
    3. No prompt de comando do PostgreSQL, digite o seguinte para alterar o padrão senha:
      apigee=&gt; ALTER USER postgres WITH PASSWORD 'apigee1234';
    4. Saia do banco de dados PostgreSQL usando o comando:
      apigee=&gt; \q
  3. Defina a "apigee" do PostgreSQL senha do usuário:
    1. Faça login no banco de dados PostgreSQL usando o comando:
      &gt; psql -h localhost -d apigee -U apigee
    2. Quando solicitado, digite o comando "apigee" a senha do usuário como "postgres".
    3. No prompt de comando do PostgreSQL, digite o seguinte para alterar o padrão senha:
      apigee=&gt; ALTER USER apigee WITH PASSWORD 'apigee1234';
    4. Saia do banco de dados PostgreSQL usando o comando:
      apigee=&gt; \q
  4. Defina APIGEE_HOME:
    &gt; exportar APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Criptografe a nova senha:
    &gt; sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Esse comando retorna a senha criptografada conforme mostrado abaixo. A senha criptografada começa após o ":" e não inclui ":".
    String criptografada :WheaR8U4OeMEM11erxA3Cw==
  6. Atualize o nó do servidor de gerenciamento com as novas senhas criptografadas da "postgres" e "apigee" usuários.
    1. No servidor de gerenciamento, altere o diretório para /opt/apigee/customer/application.
    2. Edite o arquivo management-server.properties para defina as propriedades a seguir. Se esse arquivo não existir, crie-o:
      Observação: algumas propriedades usam o "postgres" criptografado e outros usam a criptografada 'apigee' senha de usuário.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Verifique se o arquivo pertence à 'apigee' usuário:
      &gt; chown apigee:apigee management-server.properties
  7. Atualize todos os nós do servidor Postgres e do Qpid Server com a nova senha criptografada.
    1. No nó do servidor Postgres ou do Qpid Server, altere o diretório para /opt/apigee/customer/application.
    2. Edite os arquivos a seguir. Se esses arquivos não existirem, crie-os:
      • postgres-server.properties
      • qpid-server.properties
    3. Adicione as seguintes propriedades aos arquivos:
      Observação: todas essas propriedades usam a classe encrypted "postgres" senha de usuário.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Confirme se os arquivos são de propriedade da "apigee" usuário:
      &gt; chown apigee:apigee postgres-server.properties
      &gt; chown apigee:apigee qpid-server.properties
  8. Reinicie os seguintes componentes nesta ordem:
    1. Banco de dados PostgreSQL:
      &gt; /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Servidor Qpid:
      &gt; /opt/apigee/apigee-service/bin/apigee-service Edge-qpid-server restart
    3. Servidor do Postgres:
      &gt; /opt/apigee/apigee-service/bin/apigee-service Edge-postgres-server reboot
    4. Servidor de gerenciamento:
      &gt; /opt/apigee/apigee-service/bin/apigee-service Edge-management-server reinicialização