הפעלת אימות קסנדרה

Edge for Private Cloud גרסה 4.18.01

כברירת מחדל, Cassandra מתקינה ללא אימות מופעל. המשמעות היא שכל אחד יכול לגשת קסנדרה. אפשר להפעיל את האימות אחרי שמתקינים את Edge או כחלק מההתקנה תהליך האימות.

אם תחליטו להפעיל אימות ב-Cassandra, המערכת תשתמש בברירת המחדל הבאה פרטי כניסה:

  • שם משתמש = 'cassandra'
  • password = 'cassandra'

אפשר להשתמש בחשבון הזה, להגדיר סיסמה אחרת לחשבון או ליצור חשבון Cassandra חדשה משתמש. הוספה, הסרה ושינוי של משתמשים באמצעות המשתמש CREATE/ALTER/DROP של Cassandra הצהרות.

למידע נוסף, ראו פקודות מעטפת של SQL קסנדרה.

הפעלת אימות Cassandra במהלך התקנה

אפשר להפעיל את אימות Cassandra כזמן ההתקנה. אבל למרות שאפשר להפעיל באימות של כשמתקינים את Cassandra, אי אפשר לשנות את שם המשתמש והסיסמה שמוגדרים כברירת מחדל. עליך לבצע שלב זה באופן ידני בסיום ההתקנה של Cassandra.

הערה: יש לבצע את התהליך הזה כשמתקינים את Cassandra באמצעות המקשים -p c או -p ds", ' -p sa', ' -p aio ', ' -p asa' ו-' -p ebp' אפשרויות.

כדי להפעיל אימות של Cassandra בזמן ההתקנה, צריך לכלול את המאפיין CASS_AUTH בקובץ התצורה לכל הצמתים של Cassandra:

CASS_AUTH=y # The default value is n.

רכיבי Edge הבאים ניגשים ל-Cassandra:

  • שרת ניהול
  • מעבדי הודעות
  • נתבים
  • שרתי Qpid
  • שרתי Postgres
  • מקבץ BaaS

לכן, כשמתקינים את הרכיבים האלה, צריך להגדיר את המאפיינים הבאים קובץ תצורה כדי לציין את פרטי הכניסה של Cassandra:

CASS_USERNAME=cassandra 
CASS_PASSWORD=cassandra

אפשר לשנות את פרטי הכניסה של Cassandra אחרי התקנת Cassandra. אבל אם יש לך כבר התקינו את שרת הניהול, מעבדי הודעות, נתבים, שרתי Qpid, Postgres או BaaS Stack, עליכם גם לעדכן את הרכיבים האלו כדי שישתמשו פרטי הכניסה.

כדי לשנות את פרטי הכניסה של Cassandra אחרי התקנת Cassandra:

  1. מתחברים לכל צומת של Cassandra באמצעות הכלי cqlsh ופרטי הכניסה שמוגדרים כברירת מחדל. שלך תצטרכו לשנות את הסיסמה רק בצומת אחד, והיא תשודר לכל הצמתים של Cassandra הצלצול:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
    ?איפה:
    1. cassIP היא כתובת ה-IP של צומת Cassandra.
    2. 9042 היא יציאת ברירת המחדל של Cassandra.
    3. משתמש ברירת המחדל הוא cassandra.
    4. סיסמת ברירת המחדל היא cassandra. אם שיניתם את הסיסמה בעבר, השתמשו בסיסמה הנוכחית.
  2. מריצים את הפקודה הבאה בתור ההנחיה cqlsh> כדי לעדכן סיסמה:
    cqlsh> קסנדרה של משתמש חלופי עם סיסמה 'NEW_PASSWORD';
  3. כדי לצאת מכלי ה-cqlsh:
    cqlsh> יציאה
  4. אם עדיין לא התקנתם את שרת הניהול, מעבדי ההודעות, נתבים, שרתי Qpid, שרתי Postgres או BaaS Stack, מגדירים את המאפיינים הבאים ב קובץ config ולאחר מכן מתקינים את הרכיבים הבאים:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=NEW_PASSWORD
  5. אם כבר התקנתם את שרת הניהול, הודעה מעבדים, נתבים, שרתי Qpid, שרתי Postgres או BaaS Stack. במאמר איפוס סיסמאות Edge מוסבר איך לעדכן אותם. רכיבים כדי להשתמש בסיסמה החדשה.

הפעלת פוסט האימות של Cassandra התקנה

כדי להפעיל את האימות:

  • לעדכן את כל רכיבי Edge שמתחברים ל-Cassandra עם שם המשתמש של Cassandra וגם סיסמה.
  • בכל הצמתים של Cassandra, מפעילים את האימות.
  • מגדירים את שם המשתמש והסיסמה של Cassandra בכל צומת. צריך לשנות רק את פרטי כניסה בצומת אחד של Cassandra, והם ישודרו לכל צמתים של Cassandra צלצול.

יש לבצע את התהליך הבא כדי לעדכן את כל רכיבי Edge שמתקשרים עם Cassandra עם פרטי הכניסה החדשים. לתשומת ליבך: עליך לבצע את השלב הזה לפני שמעדכנים בפועל את Cassandra פרטי כניסה:

  1. בצומת של שרת הניהול, מריצים את הפקודה הבאה:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_password

    אפשר גם להעביר קובץ לפקודה שמכילה את שם המשתמש והסיסמה החדשים:
    > apigee-service dge-management-server store_cassandra_credentials -f configFile

    כאשר configFile מכיל:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=CASS_PASSWROD

    הפקודה הזו מפעילה מחדש את שרת הניהול באופן אוטומטי.
  2. חוזרים על שלב 1 ב:
    • כל מעבדי ההודעות
    • כל הנתבים
    • כל שרתי ה-Qpid (קצה-qpid-server)
    • שרתי Postgres (End-postgres-server)
  3. בצומת BaaS Stack לגרסה 4.16.05.04 ואילך:
    1. כדי ליצור סיסמה מוצפנת, מריצים את הפקודה הבאה:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      הפקודה הזו מבקשת את הסיסמה בפורמט טקסט פשוט ומחזירה את הסיסמה המוצפנת הטופס הזה:
      אבטחה:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. מגדירים את האסימונים הבאים ב-/opt/apigee/customer/application/usergrid.properties. אם הקובץ הזה לא קיים, יוצרים אותו:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050

      הדוגמה הזו משתמשת בשם המשתמש שמוגדר כברירת מחדל עבור Cassandra. אם שיניתם את שם המשתמש, עליכם להגדיר של usergrid-deployment_cassandra.username, בהתאמה.

      חשוב לכלול את המאפיין "אבטחה:" לסיסמה. אחרת, מקבץ BaaS מפרש את הערך כלא מוצפן.

      הערה: לכל צומת של BaaS Stack יש מפתח ייחודי משלו שמשמש להצפנה סיסמה. לכן צריך ליצור את הערך המוצפן בכל צומת של BaaS Stack בנפרד.
    3. משנים את הבעלות על הקובץ usergrid.properties 'apigee' user:
      > צ'און apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. הגדרת הצומת של המקבץ:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configuration
    5. הפעלה מחדש של מקבץ BaaS:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid מחדש
    6. חוזרים על השלבים האלה לכל התנועות ב-BaaS Stack.

מבצעים את התהליך הבא כדי להפעיל אימות של Cassandra ולהגדיר את שם המשתמש סיסמה:

  1. מתחברים לצומת Cassandra הראשון.
  2. מריצים את הפקודה הבאה: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra
  enable_cassandra_authentication -e y

    הפקודה הזו מפעילה את האימות ומפעילים מחדש את Cassandra.

  3. חוזרים על שלבים 1 ו-2 בכל הצמתים של Cassandra.
  4. מתחברים לכל צומת של Cassandra באמצעות הכלי cqlsh וברירת המחדל פרטי הכניסה. צריך לשנות את הסיסמה רק בצומת אחד של Cassandra, והיא תהיה שידור לכל הצמתים של Cassandra בזירה: 
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    איפה

    • cassIP היא כתובת ה-IP של צומת Cassandra.
    • 9042 הוא נמל קסנדרה.
    • משתמש ברירת המחדל הוא cassandra.
    • סיסמת ברירת המחדל היא cassandra. אם שיניתם את הסיסמה בעבר, השתמשו בסיסמה הנוכחית.
  5. מריצים את הפקודה הבאה בהודעה של cqlsh> כדי לעדכן את סיסמה: 
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  6. מריצים את הפקודה הבאה בהודעה cqlsh> כדי לוודא שמרחב המקשים תמיד זמין. במרכז נתונים יחיד: 
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3'};
     בשני מרכזי נתונים: 
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3', 'dc-2': '3'};
  7. כדי לצאת מהכלי cqlsh: 
    exit
  8. מריצים את הפקודה nodetool repair כדי לוודא שהשינוי מופץ בכל הצמתים של Cassandra: 
    /opt/apigee/apigee-cassandra/bin/nodetool repair system_auth