エッジ パスワードのリセット

Edge for Private Cloud v4.18.01

インストールの完了後に、OpenLDAP、Apigee Edge システム管理者、Edge 組織ユーザー、Cassandra のパスワードをリセットできます。

OpenLDAP のパスワードのリセット

Edge の構成に応じて、OpenLDAP は次の形式でインストールできます。

  • Management Server ノードにインストールされた OpenLDAP の単一インスタンス。たとえば、2 ノード、5 ノード、9 ノードの Edge 構成の場合です。
  • 複数の OpenLDAP インスタンスを Management Server ノードにインストールし、OpenLDAP レプリケーションによって構成する。たとえば、12 ノードの Edge 構成です。
  • OpenLDAP レプリケーションが構成された複数の OpenLDAP インスタンスを独自のノードにインストール。たとえば、13 ノードの Edge 構成です。

OpenLDAP のパスワードをリセットする方法は、構成によって異なります。

Management Server に OpenLDAP のインスタンスが 1 つインストールされている場合は、次の操作を行います。

  1. Management Server ノードで次のコマンドを実行して、新しい OpenLDAP パスワードを作成します。
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -ooldPword -n newPword
  2. 次のコマンドを実行して、Management Server によるアクセス用の新しいパスワードを保存します。
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword

    このコマンドは、Management Server を再起動します。

Management Server ノードに OpenLDAP がインストールされている OpenLDAP レプリケーション設定では、上記の手順に沿って両方の Management Server ノードでパスワードを更新します。

OpenLDAP が Management Server 以外のノードにある OpenLDAP レプリケーション設定では、まず両方の OpenLDAP ノードでパスワードを変更してから、両方の Management Server ノードでパスワードを変更します。

システム管理者パスワードを再設定する

システム管理者パスワードを再設定するには、以下の 2 つの場所でパスワードをリセットする必要があります。

  • 管理サーバー
  • UI

警告: システム管理者パスワードをリセットする前に Edge UI を停止する必要があります。最初に Management Server でパスワードをリセットするため、UI がしばらくの間古いパスワードを使用する場合があります。UI で古いパスワードを使用して 3 回以上呼び出しを行うと、OpenLDAP サーバーはシステム管理者アカウントを 3 分間ロックアウトします。

システム管理者パスワードをリセットするには:

  1. UI ノードで Edge UI を停止します。
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Management Server で次のコマンドを実行して、パスワードをリセットします。
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. Edge UI のインストールで使用したサイレント構成ファイルを編集して、次のプロパティを設定します。
    APIGEE_ADMINPW=newPW
    SMTP=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTP PASSWORD=bar
    SMTP SSL=y が新しいパスワードに含まれているため
    SMTP が FROM="My Company.com. <myco> にリセットされています。注:SMTP が新しいパスワードである
    <myco.
  4. apigee-setup ユーティリティを使用して、構成ファイルから Edge UI のパスワードをリセットします。
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (UI で TLS が有効になっている場合のみ)管理 UI の TLS の構成の説明に従って、Edge UI で TLS を再度有効にします。

複数の Management Server がある OpenLDAP レプリケーション環境では、一方の Management Server でパスワードをリセットすると、もう一方の Management Server も自動的に更新されます。ただし、すべての Edge UI ノードを個別に更新する必要があります。

組織ユーザーのパスワードを再設定する

組織ユーザーのパスワードを再設定するには、apigee-servce ユーティリティを使用して apigee-setup を呼び出します。

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

例:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword 

以下は、「-f」オプションで使用できる構成ファイルの例です。

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword  

ユーザーの更新 API を使用して、ユーザー パスワードを変更することもできます。

システム管理者と組織ユーザーのパスワード ルール

API 管理ユーザーに対して、任意のレベルのパスワードの長さと安全度を適用するには、このセクションを使用します。この設定では、事前に構成されている(一意の番号が付された)一連の正規表現を使用して、パスワードの内容(大文字、小文字、数字、特殊文字など)をチェックします。これらの設定を /opt/apigee/customer/application/management-server.properties ファイルに書き込みます。このファイルが存在しない場合は作成します。

management-server.properties を編集したら、Management Server を再起動します。

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

正規表現のさまざまな組み合わせをグループ化することで、パスワードの安全度を設定できます。たとえば、大文字と小文字がそれぞれ 1 文字以上のパスワードの強度は「3」、小文字と数字が 1 つ以上含まれているパスワードの強度は「4」であると判断できます。

プロパティ

Description

conf_security_password.validation.minimum です。
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum です。
rating.required=3

これらを使用して、有効なパスワードの全体的な特性を判断します。パスワードの安全度に関するデフォルトの最小評価(この表で後述)は 3 です。

password.validation.default.rating=2 は、必要な最小レーティングよりも低くなっています。つまり、入力したパスワードが構成済みのルールに該当しない場合、パスワードは 2 と評価され、無効となります(最小レーティングの 3 未満)。

以下は、パスワードの特性を識別するための正規表現です。それぞれに番号が付いていることに注意してください。たとえば、「password.validation.regex.5=...」は、式の番号 5 です。この番号は、ファイルの後のセクションで使用して、全体的なパスワードの安全度を決定するさまざまな組み合わせを設定します。

conf_security_password.validation.regex.1=^(.)\\1+$

1 – すべての文字を繰り返す

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 - 小文字の英字が 1 文字以上必要です

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 - 大文字の英字が 1 文字以上必要です

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 - 1 桁以上

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 - 特殊文字が 1 つ以上(アンダースコアの _ は除く)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 - アンダースコアが 1 つ以上

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 – 小文字が 2 文字以上

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 - 大文字が複数ある

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – 2 桁以上

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – 特殊文字が 2 つ以上(アンダースコアを除く)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 - アンダースコアが 2 つ以上

次のルールでは、パスワードの内容に基づいてパスワードの安全度を決定します。 各ルールには、前のセクションの正規表現が 1 つ以上含まれ、数値の強度が割り当てられます。パスワードの数値強度は、このファイルの先頭にある conf_security_password.validation.minimum.rating.required の数値と比較され、パスワードが有効かどうかが決定されます。

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2、3、4、AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

各ルールには番号が付いています。たとえば、「password.validation.rule.3=...」はルール番号 3 です。

各ルールでは次の形式を使用します(等号の右側)。

<正規表現インデックス リスト>、<AND|OR>、<評価>

regex-index-list で、正規表現(前のセクションの番号順)と AND|OR 演算子を指定します(つまり、リストにあるすべての式またはいずれかを使用します)。

rating は、各ルールに与えられる強度評価の数値です。

たとえば、ルール 5 では、1 つ以上の特殊文字または 1 つのアンダースコアを含むパスワードの安全度は 4 に設定されます。password.validation.minimum を使用します。
Rating.required=3 がファイル最上部にある場合は、評価が 4 のパスワードが有効です。

conf_security_rbac.password.validation.enabled=true

シングル サインオン(SSO)が有効になっている場合、ロールベースのアクセス制御のパスワード検証を false に設定します。デフォルトは true です。

Cassandra のパスワードのリセット

デフォルトでは、Cassandra は認証を無効にした状態で出荷されます。認証を有効にすると、定義済みユーザー 'cassandra とパスワード「'cassandra」が使用されます。このアカウントを使用することも、このアカウントに別のパスワードを設定することも、新しい Cassandra ユーザーを作成することもできます。Cassandra の CREATE/ALTER/DROP USER ステートメントを使用して、ユーザーを追加、削除、変更します。

Cassandra 認証を有効にする方法については、Cassandra 認証を有効にするをご覧ください。

Cassandra のパスワードを再設定するには、次の操作を行います。

  • いずれかの Cassandra ノードにパスワードを設定すると、リング内のすべての Cassandra ノードにブロードキャストされます
  • 各ノードの Management Server、Message Processor、Router、Qpid サーバー、Postgres サーバー、BaaS Stack を新しいパスワードで更新します。

詳細については、http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html をご覧ください。

Cassandra のパスワードをリセットするには:

  1. cqlsh ツールとデフォルトの認証情報を使用して、任意の Cassandra ノードにログインします。1 つの Cassandra ノードでパスワードを変更するだけで、リング内のすべての Cassandra ノードにブロードキャストされます。
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    ここで:
    • cassIP は Cassandra ノードの IP アドレスです。
    • 9042 は、Cassandra のポートです。
    • デフォルト ユーザーは cassandra です。
    • デフォルトのパスワードは cassandra です。以前にパスワードを変更した場合は、現在のパスワードを使用します。
  2. 次のコマンドを cqlsh> プロンプトとして実行して、パスワードを更新します。
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    新しいパスワードに単一引用符が含まれている場合は、その前に単一引用符を付加してエスケープします。
  3. cqlsh ツールを終了します。
    cqlsh> exit
  4. Management Server ノードで、次のコマンドを実行します。
    > /opt/apigee/apigee-service/bin/apigee-service CASS_USERNAME -p CASS_USERNAME

    CASS_management-server という新しいユーザー名とパスワードを含むコマンドにファイルを渡すこともできます。
    >





    CASS_USERNAME
  5. 以下についてステップ 4 を繰り返します。
    • すべての Message Processor
    • すべてのルーター
    • すべての Qpid サーバー(edge-qpid-server)
    • Postgres サーバー(edge-postgres-server)
  6. バージョン 4.16.05.04 以降の BaaS Stack ノードで、次の操作を行います。
    1. 次のコマンドを実行して、暗号化されたパスワードを生成します。
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      このコマンドを実行すると、書式なしテキストのパスワードの入力を求められ、暗号化されたパスワードが次の形式で返されます。
      SECURE:ae1b6dedbf6b26aaab8bee7e815c91
    2. /opt/apigee/customer/application/usergrid.properties に次のトークンを設定します。このファイルが存在しない場合は作成します。
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505bc209e40 のユーザー名

      ユーザー名を変更した場合は、それに応じて usergrid-deployment_cassandra.username の値を設定します。

      パスワードに接頭辞「SECURE:」が含まれていることを確認します。 それ以外の場合、BaaS スタックは値を暗号化されていないと解釈します。

      : BaaS スタックの各ノードには、パスワードの暗号化に使用される独自の鍵があります。したがって、暗号化された値を各 BaaS スタックノードで個別に生成する必要があります。
    3. usergrid.properties ファイルの所有権を「apigee」ユーザーに変更します。
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. スタックノードを構成します。
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid Configure
    5. BaaS スタックを再起動します。
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. すべての BaaS スタック ノードに上記の手順を繰り返します。

Cassandra のパスワードが変更されました。

PostgreSQL のパスワードのリセット

デフォルトでは、PostgreSQL データベースには「postgres」と「apigee」の 2 つのユーザーが定義されています。 どちらのユーザーもデフォルトのパスワードは「postgres」です。デフォルトのパスワードを変更する手順は次のとおりです。

すべての Postgres マスターノードでパスワードを変更します。2 台の Postgres サーバーがマスター/スタンバイ モードで構成されている場合、パスワードを変更する必要があるのはマスターノード上でのみです。詳細については、Postgres のマスター / スタンバイ レプリケーションを設定するをご覧ください。

  1. マスター Postgres ノードで、/opt/apigee/apigee-postgresql/pgsql/bin ディレクトリに移動します。
  2. PostgreSQL の「postgres」ユーザー パスワードを設定します。
    1. 次のコマンドを使用して PostgreSQL データベースにログインします。
      > psql -h localhost -d apigee -U postgres
    2. プロンプトが表示されたら、「postgres」ユーザー パスワードとして「postgres」と入力します。
    3. PostgreSQL コマンド プロンプトで、次のコマンドを入力してデフォルトのパスワードを変更します。
      apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234';
    4. 次のコマンドを使用して PostgreSQL データベースを終了します。
      apigee=> \q
  3. PostgreSQL の「apigee」ユーザー パスワードを設定します。
    1. コマンド
      を使用して PostgreSQL データベースにログインします。 > psql -h localhost -d apigee -U apigee
    2. プロンプトが表示されたら、「apigee」ユーザー パスワードに「postgres」と入力します。
    3. PostgreSQL コマンド プロンプトで、次のコマンドを入力してデフォルトのパスワードを変更します。
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
    4. 次のコマンドを使用して PostgreSQL データベースを終了します。
      apigee=> \q
  4. [APIGEE_HOME] を設定します。
    > export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. 新しいパスワードを暗号化します。
    > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    このコマンドを実行すると、以下のように暗号化されたパスワードが返されます。暗号化されたパスワードは「:」の後に始まり、「:」は含みません。
    暗号化された文字列:WheaR8U4OeMEM11erxA3Cw==
  6. 「postgres」ユーザーと「apigee」ユーザー用に、新しい暗号化されたパスワードを使用して Management Server ノードを更新します。
    1. Management Server で /opt/apigee/customer/application に変更します。
    2. management-server.properties ファイルを編集して、次のプロパティを設定します。このファイルが存在しない場合は作成します。
      : 一部のプロパティは、暗号化された「postgres」ユーザー パスワードを使用するものと、暗号化された「apigee」ユーザー パスワードを使用する場合があります。
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. ファイルの所有者を「apigee」ユーザーにします。
      > chown apigee:apigee management-server.properties
  7. すべての Postgres Server ノードと Qpid Server ノードを、暗号化された新しいパスワードで更新します。
    1. Postgres Server ノードまたは Qpid Server ノードで、/opt/apigee/customer/application ディレクトリに移動します。
    2. 次のファイルを編集します。これらのファイルが存在しない場合は作成します。
      • postgres-server.properties
      • qpid-server.properties
    3. 次のプロパティをファイルに追加します。
      : これらすべてのプロパティには、暗号化された「postgres」ユーザー パスワードが適用されます。
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. ファイルの所有者が「apigee」ユーザーであることを確認します。
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. 次のコンポーネントをこの順序で再起動します。
    1. PostgreSQL データベース:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Qpid Server:
      > /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Postgres Server:
      > /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Management Server:
      > /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart