Reimpostazione delle password perimetrali

Edge per Private Cloud v4.18.01

Puoi reimpostare OpenLDAP, l'amministratore di sistema Apigee Edge, l'utente dell'organizzazione Edge e Password di Cassandra al termine dell'installazione.

Reimposta password OpenLDAP

A seconda della configurazione perimetrale, OpenLDAP può essere installato come:

  • Una singola istanza di OpenLDAP installata sul nodo del server di gestione. Ad esempio, in una Configurazione perimetrale a 2, 5 o 9 nodi.
  • Più istanze OpenLDAP installate sui nodi del server di gestione, configurate con OpenLDAP la replica dei dati. Ad esempio, in una configurazione perimetrale a 12 nodi.
  • Più istanze OpenLDAP installate sui propri nodi, configurate con OpenLDAP la replica dei dati. Ad esempio, in una configurazione perimetrale a 13 nodi.

Il modo in cui reimposti la password OpenLDAP dipende dalla configurazione.

Per una singola istanza di OpenLDAP installata sul server di gestione, esegui la seguenti:

  1. Sul nodo del server di gestione, esegui il comando seguente per creare il nuovo OpenLDAP password:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n nuova parola
  2. Esegui questo comando per archiviare la nuova password per l'accesso da parte del team di gestione Server:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword

    Questo comando riavvia il server di gestione.

In una configurazione della replica OpenLDAP con OpenLDAP installato sul server di gestione , segui i passaggi precedenti su entrambi i nodi del server di gestione per aggiornare password.

In una configurazione di replica OpenLDAP con OpenLDAP su un nodo diverso da Management di rete, assicurati di modificare prima la password su entrambi i nodi OpenLDAP, quindi su entrambi dei nodi del server di gestione.

Reimpostare la password di amministratore di sistema

La reimpostazione della password dell'amministratore di sistema richiede il ripristino della password in due modi:

  • Server di gestione
  • UI
di Gemini Advanced.

Avviso: devi arrestare l'UI Edge prima di reimpostare l'amministratore di sistema password. Poiché hai prima reimpostato la password sul server di gestione, potrebbe essere presente un breve periodo di tempo durante il quale l'interfaccia utente continua a utilizzare la vecchia password. Se l'interfaccia utente effettua più di tre chiamate usando la vecchia password, il server OpenLDAP blocca l'account dell'amministratore di sistema per tre minuti.

Per reimpostare la password dell'amministratore di sistema:

  1. Sul nodo UI, arresta la UI Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Sul server di gestione, esegui questo comando per reimpostare la password:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. Modifica il file di configurazione invisibile utilizzato per installare l'interfaccia utente Edge per impostare quanto segue proprietà:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    PORTA SMTP=465
    UTENTE SMTP=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="La mia azienda <miaco@azienda.com>"


    Tieni presente che devi includere le proprietà SMTP quando passi la nuova password vengono reimpostate sulla UI.
  4. Utilizza apigee-setup per reimpostare la password sulla UI Edge dal file di configurazione:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Solo se il protocollo TLS è abilitato nell'interfaccia utente) Riattiva TLS nell'interfaccia utente perimetrale come descritto in Configurazione di TLS per la gestione Interfaccia utente.

In un ambiente di replica OpenLDAP con più server di gestione, la reimpostazione della password su un server di gestione aggiorna l'altro server di gestione automaticamente. Tuttavia, devi aggiornare tutti i nodi della UI perimetrale separatamente.

Reimpostare la password utente dell'organizzazione

Per reimpostare la password per un utente dell'organizzazione, utilizza l'utilità apigee-servce per richiamare apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Ad esempio:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword 

Di seguito è riportato un esempio di file di configurazione che puoi utilizzare con "-f" :

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword  

Puoi anche utilizzare l'API Update user per cambiare la password dell'utente.

Amministratore di sistema e password utente dell'organizzazione Regole

Utilizza questa sezione per applicare il livello desiderato di lunghezza e sicurezza della password per la tua API per gli utenti della gestione. Le impostazioni utilizzano una serie di regole preconfigurate (e numerate in modo univoco) espressioni per controllare i contenuti delle password (ad esempio lettere maiuscole, minuscole, numeri e caratteri speciali caratteri). Scrivi queste impostazioni in /opt/apigee/customer/application/management-server.properties . Se il file non esiste, crealo.

Dopo aver modificato management-server.properties, riavvia del server di gestione:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Puoi quindi impostare i livelli di sicurezza della password raggruppando diverse combinazioni di le espressioni regolari. Ad esempio, puoi determinare che una password con almeno una lettera maiuscola e una lettera minuscola ottiene un punteggio di sicurezza pari a "3", ma una password con almeno una lettera minuscola lettera e uno numero ottiene una valutazione migliore pari a "4".

Proprietà

Descrizione

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

Utilizzale per determinare le caratteristiche generali delle password valide. Il valore predefinito La valutazione minima per la sicurezza della password (descritta più avanti nella tabella) è 3.

Tieni presente che password.validation.default.rating=2 è inferiore alla valutazione minima obbligatoria, il che significa che se una password inserita non rientra nelle regole configura, la password è valutata come 2 e pertanto non è valida (valore inferiore alla valutazione minima) di 3).

Di seguito sono riportate espressioni regolari che identificano le caratteristiche delle password. Nota che ognuna sia numerata. Ad esempio, "password.validation.regex.5=..." sono espressione numero 5. Utilizzerai questi numeri in una sezione successiva del file per impostare diverse combinazioni che determinano la sicurezza complessiva della password.

conf_security_password.validation.regex.1=^(.)\\1+$

1 – Tutti i caratteri si ripetono

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – Almeno una lettera minuscola

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – Almeno una lettera maiuscola

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – Almeno una cifra

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – Almeno un carattere speciale (escluso il trattino basso _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – Almeno un trattino basso

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 – Più di una lettera minuscola

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – Più di una lettera maiuscola

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 - Più di una cifra

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – Più di un carattere speciale (escluso il trattino basso)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – Più di un trattino basso

Le regole seguenti determinano la sicurezza della password in base al contenuto della password. Ogni regola include una o più espressioni regolari della sezione precedente e assegna una forza numerica. La sicurezza numerica di una password viene confrontata con conf_security_password.validation.minimum.rating.required numero nella parte superiore di questo file per determinare se una password è valida.

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

Ogni regola è numerata. Ad esempio: "password.validation.rule.3=..." è la regola numero 3.

Ogni regola utilizza il seguente formato (a destra del segno di uguale):

&lt;regex-index-list&gt;,&lt;AND|OR&gt;,&lt;rating&gt;

regex-index-list è l'elenco di espressioni regolari (per numero da la sezione precedente), insieme a un operatore AND|OR (ovvero, considera tutte o alcune delle espressioni elencate).

rating è la valutazione della forza numerica assegnata a ogni regola.

Ad esempio, la regola 5 significa che qualsiasi password con almeno un carattere speciale OPPURE uno Il trattino basso ottiene un punteggio di forza pari a 4. Con password.validation.minimum.
rating.required=3 nella parte superiore del file, una password con valutazione pari a 4 è valida.

conf_security_rbac.password.validation.enabled=true

Imposta la convalida delle password per il controllo degli accessi basato su ruoli su false quando Single Sign-On (SSO) sia abilitato. Il valore predefinito è true.

Reimpostazione della password di Cassandra

Per impostazione predefinita, Cassandra viene spedito con l'autenticazione disattivata. Se attivi l'autenticazione, utilizza un utente predefinito denominato 'cassandra' con una password di "cassandra". Puoi usare questo account, imposta una password diversa per questo account o crea un nuovo utente Cassandra. Aggiungi, rimuovi e modificare gli utenti utilizzando le istruzioni Cassandra CREATE/ALTER/DROP USER.

Per informazioni su come attivare l'autenticazione Cassandra, vedi Attivare l'autenticazione Cassandra.

Per reimpostare la password Cassandra, devi:

  • Imposta la password su qualsiasi nodo Cassandra e verrà trasmessa a tutti i servizi Cassandra nodi nel ring
  • Aggiornare server di gestione, processori di messaggi, router, server Qpid, server Postgres, e BaaS Stack su ciascun nodo con la nuova password

Per ulteriori informazioni, consulta http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Per reimpostare la password di Cassandra:

  1. Accedi a qualsiasi nodo Cassandra utilizzando lo strumento cqlsh e e credenziali. ?Devi solo cambiare la password su un nodo Cassandra e sarà trasmetti a tutti i nodi Cassandra nell'anello:
    &gt; /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p Cassandra

    Dove:
    • cassIP è l'indirizzo IP del nodo Cassandra.
    • 9042 è Cassandra una porta.
    • L'utente predefinito è cassandra.
    • La password predefinita è cassandra. Se hai modificato la password in precedenza, utilizza la password attuale.
  2. Esegui questo comando come prompt cqlsh&gt; per aggiornare password:
    cqlsh&gt; ALTER UTENTE cassandra CON PASSWORD "NEW_PASSWORD";

    Se la nuova password contiene virgolette singole, aggiungi un carattere di escape anteponendovi una singola tra virgolette.
  3. Esci dallo strumento cqlsh:
    cqlsh&gt; esci
  4. Sul nodo del server di gestione, esegui questo comando:
    &gt; /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Facoltativamente, puoi passare al comando un file contenente il nuovo nome utente e la nuova password:
    &gt; apigee-service edge-management-server store_cassandra_credentials -f configFile

    Dove configFile contiene il parametro seguite da:
    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD


    Questo comando riavvia automaticamente il server di gestione.
  5. Ripeti il passaggio 4 nei seguenti casi:
    • Tutti i processori di messaggi
    • Tutti i router
    • Tutti i server Qpid (edge-qpid-server)
    • Server Postgres (edge-postgres-server)
  6. Sul nodo BaaS Stack per la versione 4.16.05.04 e successive:
    1. Esegui questo comando per generare una password criptata:
      &gt; /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Questo comando richiede la password in testo normale e restituisce la password criptata in il modulo:
      SICURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. Imposta i seguenti token in /opt/apigee/customer/application/usergrid.properties. Se il file non esiste, crealo:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050


      In questo esempio viene utilizzato il nome utente predefinito per Cassandra. Se hai cambiato il nome utente, imposta di conseguenza il valore di usergrid-deployment_cassandra.username.

      Assicurati di includere "SECURE:" sulla password. In caso contrario, lo stack BaaS interpreta il valore come non criptato.

      Nota: ogni nodo dello stack BaaS ha una propria chiave univoca utilizzata per criptare password. Di conseguenza, devi generare il valore criptato su ciascun nodo dello stack BaaS separatamente.
    3. Modifica la proprietà del file usergrid.properties con 'apigee' utente:
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Configura il nodo Stack:
      &gt; /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. Riavvia lo stack BaaS:
      &gt; /opt/apigee/apigee-service/bin/apigee-service baas-usergrid reboot
    6. Ripeti questi passaggi per tutti i nodi dello stack BaaS.

La password di Cassandra è stata modificata.

Reimpostazione della password PostgreSQL

Per impostazione predefinita, il database PostgreSQL ha due utenti definiti: "postgres" e 'apigee'. Entrambi gli utenti hanno una password predefinita di "postgres". Utilizza la seguente procedura per modificare password predefinita.

Cambia la password su tutti i nodi master di Postgres. Se hai configurato due server Postgres in modalità master/standby, è sufficiente modificare la password sul nodo master. Consulta Configura replica master-standby per Postgres per saperne di più.

  1. Sul nodo Postgres master, cambia la directory in /opt/apigee/apigee-postgresql/pgsql/bin.
  2. Imposta il comando PostgreSQL "postgres" password utente:
    1. Accedi al database PostgreSQL utilizzando il comando:
      &gt; psql -h localhost -d apigee -U postgres
    2. Quando richiesto, inserisci "postgres" come "postgres".
    3. Nel prompt dei comandi di PostgreSQL, inserisci questo comando per modificare il valore predefinito password:
      apigee=&gt; ALTER USER postgres CON PASSWORD 'apigee1234';
    4. Esci dal database PostgreSQL utilizzando il comando:
      apigee=&gt; \q
  3. Imposta l'argomento PostgreSQL 'apigee' password utente:
    1. Accedi al database PostgreSQL utilizzando il comando:
      &gt; psql -h localhost -d apigee -U apigee
    2. Quando richiesto, inserisci 'apigee' come "postgres".
    3. Nel prompt dei comandi di PostgreSQL, inserisci questo comando per modificare il valore predefinito password:
      apigee=&gt; ALTER USER apigee WITH PASSWORD 'apigee1234';
    4. Esci dal database PostgreSQL utilizzando il comando:
      apigee=&gt; \q
  4. Imposta APIGEE_HOME:
    > esporta APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Cripta la nuova password:
    &gt; s /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Questo comando restituisce la password criptata, come mostrato di seguito. La password criptata inizia dopo il giorno il carattere ":" e non include il carattere ":".
    Stringa criptata :WheaR8U4OeMEM11erxA3Cw==
  6. Aggiorna il nodo del server di gestione con le nuove password criptate per il "postgres" e 'apigee' utenti.
    1. Sul server di gestione, cambia la directory in /opt/apigee/customer/application.
    2. Modifica il file management-server.properties in imposta le seguenti proprietà. Se questo file non esiste, crealo:
      Nota: alcune proprietà utilizzano il parametro "postgres" criptato la password dell'utente e alcune prendono l'impostazione 'apigee' criptata utente password.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Assicurati che il file sia di proprietà di 'apigee' utente:
      &gt; chown apigee:apigee management-server.properties
  7. Aggiorna tutti i nodi del server Postgres e del server Qpid con la nuova password criptata.
    1. Sul nodo Postgres Server o Qpid Server, cambia la directory in /opt/apigee/customer/application.
    2. Modifica i seguenti file. Se questi file non esistono, creali:
      • postgres-server.properties
      • qpid-server.properties
    3. Aggiungi le seguenti proprietà ai file:
      Nota: tutte queste proprietà utilizzano "postgres" criptato password utente.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Assicurati che i file siano di proprietà di 'apigee' utente:
      &gt; chown apigee:apigee postgres-server.properties
      &gt; chown apigee:apigee qpid-server.properties
  8. Riavvia i seguenti componenti in questo ordine:
    1. Database PostgreSQL:
      &gt; /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql riavvio
    2. Server Qpid:
      &gt; /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server riavvio
    3. Server Postgres:
      &gt; /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server riavvio
    4. Server di gestione:
      &gt; /opt/apigee/apigee-service/bin/apigee-service edge-management-server riavvio