إعادة ضبط كلمات مرور Edge

الإصدار 4.18.01 من Edge الخاص بخدمة Private Cloud

يمكنك إعادة ضبط كلمات مرور OpenLDAP ومشرف نظام Apigee Edge ومستخدم مؤسسة Edge وCassandra بعد اكتمال التثبيت.

إعادة ضبط كلمة مرور OpenLDAP

وبناءً على إعدادات Edge، يمكن تثبيت OpenLDAP كما يلي:

  • تم تثبيت مثيل واحد من بروتوكول OpenLDAP في عقدة خادم الإدارة. على سبيل المثال، في ضبط عُقدة ثنائية أو 5 عُقد أو حافة تسع عُقد.
  • تم تثبيت مثيلات OpenLDAP متعددة على عُقد خادم الإدارة، مع ضبطها باستخدام النسخ المماثل لخدمة OpenLDAP. على سبيل المثال، في إعداد Edge المكوَّن من 12 عقدة.
  • تم تثبيت مثيلات OpenLDAP متعددة على عُقدها، مع ضبطها باستخدام النسخ المتماثل لـ OpenLDAP. على سبيل المثال، في إعداد Edge المكوَّن من 13 عقدة.

تعتمد طريقة إعادة ضبط كلمة مرور OpenLDAP على عملية الضبط.

بالنسبة إلى مثيل واحد من بروتوكول OpenLDAP المُثبَّت على خادم الإدارة، عليك إجراء ما يلي:

  1. في عقدة خادم الإدارة، نفِّذ الأمر التالي لإنشاء كلمة مرور OpenLDAP الجديدة:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. شغِّل الأمر التالي لتخزين كلمة المرور الجديدة للوصول إليها من خلال "خادم الإدارة":
    > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server store_ldap_credentials -p newPword

    يؤدي هذا الأمر إلى إعادة تشغيل "خادم الإدارة".

في إعداد النسخ المتماثل لـ OpenLDAP باستخدام بروتوكول OpenLDAP المُثبَّت في عُقد خادم الإدارة، اتّبِع الخطوات السابقة في كلتا عُقد خادم الإدارة لتعديل كلمة المرور.

في إعداد النسخ المتماثل لـ OpenLDAP باستخدام بروتوكول OpenLDAP على عقدة غير خادم الإدارة، تأكَّد من تغيير كلمة المرور أولاً في كلتا عُقد OpenLDAP، ثم في كلتا عُقدتي خادم الإدارة.

إعادة ضبط كلمة مرور مشرف النظام

تتطلب إعادة تعيين كلمة مرور مشرف النظام منك إعادة تعيين كلمة المرور في مكانين:

  • خادم الإدارة
  • واجهة المستخدم

تحذير: يجب إيقاف واجهة مستخدم Edge قبل إعادة ضبط كلمة مرور مشرف النظام. بما أنّك أعدت ضبط كلمة المرور أولاً في خادم الإدارة، قد تكون هناك فترة قصيرة لا تزال فيها واجهة المستخدم تستخدم كلمة المرور القديمة. وإذا أجرت واجهة المستخدم أكثر من ثلاث طلبات باستخدام كلمة المرور القديمة، يقفل خادم OpenLDAP حساب مشرف النظام لمدة ثلاث دقائق.

لإعادة ضبط كلمة مرور مشرف النظام:

  1. في عقدة واجهة المستخدم، أوقِف واجهة مستخدم Edge:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-ui التعرّف
  2. في خادم الإدارة، نفِّذ الأمر التالي لإعادة ضبط كلمة المرور:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. عدِّل ملف الإعداد الصامت الذي استخدمته لتثبيت واجهة مستخدم Edge لضبط السمات التالية:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPHOST=smtp.gmail.com
    SMTPOWNER=465
    SMTPUSER=foo@gmail.com
    SMTPpassword=bar
    SMTPSSL=y
    أن تكون خصائص SMTP <myco@company.com الأخرى على واجهة المستخدم
  4. استخدِم الأداة apigee-setup لإعادة ضبط كلمة المرور على واجهة مستخدم Edge من ملف الإعداد:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (فقط إذا تم تفعيل بروتوكول أمان طبقة النقل (TLS) على واجهة المستخدم) أعِد تفعيل بروتوكول أمان طبقة النقل (TLS) على واجهة مستخدم Edge كما هو موضح في ضبط بروتوكول أمان طبقة النقل (TLS) لواجهة مستخدم الإدارة.

في بيئة نسخ OpenLDAP التي تتضمن خوادم إدارة متعددة، تؤدي إعادة ضبط كلمة المرور على أحد خوادم الإدارة إلى تعديل خادم الإدارة الآخر تلقائيًا. ومع ذلك، يجب عليك تحديث جميع عُقد واجهة مستخدم Edge بشكل منفصل.

إعادة ضبط كلمة مرور مستخدم المؤسسة

لإعادة ضبط كلمة المرور لمستخدم في المؤسسة، استخدِم الأداة المساعدة apigee-service لاستدعاء apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

مثلاً:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

في ما يلي مثال على ملف إعداد يمكنك استخدامه مع الخيار "-f":

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

يمكنك أيضًا استخدام واجهة برمجة التطبيقات Update user (تحديث المستخدم) لتغيير كلمة مرور المستخدم.

قواعد كلمة مرور مستخدم المؤسسة ومسؤول إدارة النظم

استخدِم هذا القسم لفرض المستوى المطلوب من طول كلمة المرور ومدى قوتها لمستخدمي إدارة واجهة برمجة التطبيقات. تستخدم الإعدادات سلسلة من التعبيرات العادية المضبوطة مسبقًا (والمرقمة بشكل فريد) للتحقّق من محتوى كلمة المرور (مثل الأحرف الكبيرة والصغيرة والأرقام والأحرف الخاصة). اكتب هذه الإعدادات في ملف /opt/apigee/customer/application/management-server.properties. إذا لم يكن الملف موجودًا، فأنشئه.

بعد تعديل management-server.properties، أعِد تشغيل خادم الإدارة:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

يمكنك بعد ذلك ضبط تقييمات قوة كلمة المرور من خلال تجميع مجموعات مختلفة من التعبيرات العادية. على سبيل المثال، يمكنك معرفة أنّ تقييم قوة كلمة المرور التي تحتوي على حرف كبير وحرف صغير واحد على الأقل هو "3"، في حين تحصل كلمة المرور التي تتضمّن حرفًا صغيرًا ورقمًا واحدًا على الأقل على تقييم أقوى بمقدار "4".

المواقع

الوصف

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

استخدم هذه الطرق لتحديد الخصائص العامة لكلمات المرور الصالحة. والحد الأدنى التلقائي للتقييم لمدى قوة كلمة المرور (الموضّح في وقت لاحق في الجدول) هو 3.

يُرجى ملاحظة أنّ قيمة password.validation.default.rating=2 أقل من الحد الأدنى المطلوب للتقييم، أي أنه في حال كانت كلمة المرور التي أدخلتها لا تتوافق مع القواعد التي تضبطها، سيتم تقييم كلمة المرور 2، وبالتالي تكون غير صالحة (أقل من الحد الأدنى للتقييم 3).

في ما يلي تعبيرات عادية تحدد خصائص كلمة المرور. ويُرجى العلم بأنّ كل نوع منهما مرقّم. على سبيل المثال، "password.validation.regex.5=..." هو رقم التعبير 5. ستستخدم هذه الأرقام في قسم لاحق من الملف لتحديد تركيبات مختلفة تحدّد مدى قوة كلمة المرور بشكل عام.

conf_security_password.validation.regex.1=^(.)\\1+$

1 – تكرار جميع الأحرف

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 - حرف صغير واحد على الأقل

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – حرف كبير واحد على الأقل

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – رقم واحد على الأقل

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – حرف خاص واحد على الأقل (لا يشمل الشرطة السفلية _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – شرطة سفلية واحدة على الأقل

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 – أكثر من حرف صغير واحد

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – أكثر من حرف كبير

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – أكثر من رقم واحد

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – أكثر من رمز خاص واحد (لا يشمل الشرطة السفلية)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 - أكثر من شرطة سفلية واحدة

تحدد القواعد التالية مدى قوة كلمة المرور بناءً على محتوى كلمة المرور. تتضمن كل قاعدة تعبيرًا عاديًا واحدًا أو أكثر من القسم السابق وتحدد قوة رقمية له. تتم مقارنة القوة الرقمية لكلمة المرور بالعدد conf_security_password.validation.minimum.rating.المطلوب في أعلى هذا الملف لتحديد ما إذا كانت كلمة المرور صالحة أم لا.

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

كل قاعدة مرقمة. على سبيل المثال، "password.validation.rule.3=..." هي رقم القاعدة 3.

تستخدم كل قاعدة التنسيق التالي (يمين علامة يساوي):

<regex-index-list>,<AND|OR>,<rating>

regex-index-list هي قائمة بالتعبيرات العادية (حسب الرقم من القسم السابق)، إلى جانب عامل التشغيل AND|OR (أي مراعاة جميع التعبيرات المدرَجة أو أيًا منها).

rating هي تقييم القوة الرقمي الذي يتم منحه لكل قاعدة.

على سبيل المثال، تعني القاعدة 5 أنّ أي كلمة مرور تحتوي على حرف خاص واحد على الأقل أو شرطة سفلية واحدة تحصل على تقييم قوة قدره 4. باستخدام password.validation.minimum.
rating.required=3 في أعلى الملف، تكون كلمة المرور ذات التقييم 4 صالحة.

conf_security_rbac.password.validation.enabled=true

يمكنك ضبط التحقق من كلمة مرور التحكم في الوصول المستند إلى الدور على "خطأ" عند تفعيل الدخول الموحّد (SSO). الإعداد التلقائي صحيح.

إعادة تعيين كلمة مرور Cassandra

تعمل "كاساندرا" بشكل تلقائي على شحنها مع إيقاف المصادقة. في حال تفعيل المصادقة، يتم استخدام حساب مستخدم محدّد مسبقًا يُدعى 'cassandra وكلمة مروره 'cassandra. يمكنك استخدام هذا الحساب، أو ضبط كلمة مرور مختلفة لهذا الحساب، أو إنشاء حساب مستخدم Cassandra جديد. إضافة المستخدمين وإزالتهم وتعديلهم باستخدام عبارات Cassandra CREATE/ALTER/DROP.

للحصول على معلومات حول كيفية تفعيل مصادقة Cassandra، يُرجى الاطّلاع على تفعيل مصادقة Cassandra.

لإعادة تعيين كلمة مرور Cassandra، يجب عليك تنفيذ ما يلي:

  • يمكنك ضبط كلمة المرور على أي عقدة Cassandra وسيتم بثها إلى جميع عُقد Cassandra في الحلقة.
  • تحديث خادم الإدارة ومعالجات الرسائل وأجهزة التوجيه وخوادم Qpid وخوادم Postgres وحزمة BaaS Stack في كل عقدة باستخدام كلمة المرور الجديدة

لمزيد من المعلومات، يُرجى الاطّلاع على http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

لإعادة تعيين كلمة مرور Cassandra:

  1. سجِّل الدخول إلى أي عقدة Cassandra باستخدام أداة cqlsh وبيانات الاعتماد التلقائية. ما عليك سوى تغيير كلمة المرور في عقدة واحدة من عقدة Cassandra، وسيتم بثها إلى جميع عُقد Cassandra في الحلقة:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassanدرا
      أين:
    • cassIP هو عنوان IP لعقدة Cassandra.
    • 9042 هو ميناء "كاساندرا".
    • المستخدم التلقائي هو cassandra.
    • كلمة المرور التلقائية هي cassandra. إذا غيّرت كلمة المرور سابقًا، استخدِم كلمة المرور الحالية.
  2. شغِّل الأمر التالي كموجّه cqlsh> لتعديل كلمة المرور:
    cqlsh> ALTER USER cassandra WITH password 'NEW_PASSWORD';

    إذا كانت كلمة المرور الجديدة تحتوي على حرف اقتباس واحد، يمكنك تخطيها من خلال إضافتها قبلها بحرف اقتباس واحد.
  3. اخرج من أداة cqlsh:
    cqlsh> الخروج
  4. في عقدة Management Server، شغِّل الأمر التالي:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_password

    يمكنك إرسال ملف إلى الأمر
    CASS_password

    يمكنك تمرير ملف إلى الأمر الذي يحتوي على الأمر CA_certification-serverCA_management CASS_manager CASS_consent الذي يحتوي على الملف التالي إلى الأمر التالي: اسم المستخدم وكلمة المرور التاليَين: CA_certification-اسم المستخدم على الخادم:



  5. كرِّر الخطوة 4 على:
    • كل معالجات الرسائل
    • كل أجهزة التوجيه
    • جميع خوادم Qpid (edge-qpid-server)
    • خوادم Postgres (edge-postgres-server)
  6. في عقدة BaaS Stack للإصدار 4.16.05.04 والإصدارات الأحدث:
    1. نفِّذ الأمر التالي لإنشاء كلمة مرور مشفّرة:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      يطالبك هذا الأمر بإدخال كلمة مرور النص العادي ويعرض كلمة المرور المشفّرة على النحو التالي:
      SECURE:ae1b6dedbf6b26aa1501010
    2. اضبط الرموز المميّزة التالية في /opt/apigee/customer/application/usergrid.properties. إذا لم يكن هذا الملف متوفرًا، أنشئه:
      usergrid-submit_cassandra.username=cassandra
      usergrid-publish_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c209f3505c209fsane43b في أن يستخدم
      examplesac209fsane43b التلقائية: examples.
       في حال تغيير اسم المستخدم، اضبط قيمة usergrid- قراءة_cassandra.username وفقًا لذلك.

      تأكَّد من تضمين البادئة "آمن:" في كلمة المرور. وبخلاف ذلك، يفسّر حزمة BaaS القيمة على أنها غير مشفرة.

      ملاحظة: لكل عقدة BaaS Stack مفتاحها الفريد المستخدَم لتشفير كلمة المرور. بالتالي، يجب إنشاء القيمة المشفَّرة في كل عقدة BaaS Stack بشكل منفصل.
    3. غيِّر ملكية الملف usergrid.properties إلى مستخدم "apigee":
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. اضبُط عقدة Stack:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid Configuration
    5. أعِد تشغيل حزمة BaaS Stack:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid إعادة تشغيل
    6. كرِّر هذه الخطوات لجميع إيماءات BaaS Stack.

تم الآن تغيير كلمة مرور Cassandra.

إعادة تعيين كلمة مرور PostgreSQL

بشكل افتراضي، تحتوي قاعدة بيانات PostgreSQL على اثنين من المستخدمين تم تحديدهما: "postgres" و"apigee". لدى كلا المستخدمَين كلمة مرور تلقائية هي "الرسائل الإلكترونية". اتّبِع الإجراء التالي لتغيير كلمة المرور التلقائية.

تغيير كلمة المرور في جميع عُقد Postgres الرئيسية. إذا كان لديك خادمي Postgres تم ضبطهما في وضع رئيسي/جاهز، لن تحتاج إلا إلى تغيير كلمة المرور في العقدة الرئيسية. لمزيد من المعلومات، يمكنك الاطّلاع على إعداد النسخ المماثل لوضع الاستعداد لـ Postgres.

  1. في عقدة Master Postgres، غيِّر الدليل إلى /opt/apigee/apigee-postgresql/pgsql/bin.
  2. اضبط كلمة مرور المستخدم "postgreSQL" لخدمة PostgreSQL:
    1. سجِّل الدخول إلى قاعدة بيانات PostgreSQL باستخدام الأمر:
      > psql -h localhost -d apigee -U postgres
    2. عندما يُطلب منك، أدخل كلمة مرور المستخدم "postgres" كـ "postgres".
    3. في موجّه أوامر PostgreSQL، أدخِل الأمر التالي لتغيير كلمة المرور التلقائية:
      apigee=> ALTER USER postgres WITH password 'apigee1234';
    4. اخرج من قاعدة بيانات PostgreSQL باستخدام الأمر:
      apigee=> \q
  3. اضبط كلمة مرور مستخدم "apigee" لـ PostgreSQL:
    1. سجِّل الدخول إلى قاعدة بيانات PostgreSQL باستخدام الأمر:
      > psql -h localhost -d apigee -U apigee
    2. عندما يُطلب منك، أدخل كلمة مرور المستخدم "apigee" على أنها "postgres".
    3. في موجّه أوامر PostgreSQL، أدخِل الأمر التالي لتغيير كلمة المرور التلقائية:
      apigee=> ALTER USER apigee WITH password 'apigee1234';
    4. اخرج من قاعدة بيانات PostgreSQL باستخدام الأمر:
      apigee=> \q
  4. اضبط APIGEE_HOME:
    > تصدير APIGEE_Home=/opt/apigee/edge-postgres-server
  5. تشفير كلمة المرور الجديدة:
    > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    يعرض هذا الأمر كلمة المرور المشفّرة كما هو موضّح أدناه. تبدأ كلمة المرور المشفّرة بعد الحرف ":" ولا تتضمّن العلامة ":".
    سلسلة مشفّرة :WheaR8U4OeMEM11erxA3Cw==
  6. عدِّل عقدة خادم الإدارة باستخدام كلمات المرور المشفَّرة الجديدة لمستخدمي "postgres" و"apigee".
    1. في خادم الإدارة، غيِّر الدليل إلى /opt/apigee/customer/application.
    2. عدِّل الملف management-server.properties لضبط السمات التالية. إذا لم يكن هذا الملف متوفرًا، يجب إنشاؤه:
      ملاحظة: تستخدم بعض السمات كلمة مرور المستخدم المشفَّرة، في حين تستخدم بعض السمات كلمة مرور المستخدم المشفَّرة في "واجهة برمجة التطبيقات".
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. تأكَّد من أنّ الملف يملكه مستخدم "apigee":
      > chown apigee:apigee management-server.properties
  7. عدِّل جميع عُقد Postgres Server وQpid Server باستخدام كلمة المرور المشفّرة الجديدة.
    1. في عقدة Postgres Server أو خادم Qpid، غيِّر الدليل إلى /opt/apigee/customer/application.
    2. عدِّل الملفات التالية. إذا لم تكن هذه الملفات متوفّرة، يمكنك إنشاؤها:
      • postgres-server.properties
      • qpid-server.properties
    3. أضِف السمات التالية إلى الملفات:
      ملاحظة: تستخدم جميع هذه السمات كلمة مرور المستخدم المشفَّرة في "البريد الإلكتروني".
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. تأكَّد من أنّ الملفات مملوكة لمستخدم "apigee":
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. أعِد تشغيل المكوّنات التالية بالترتيب التالي:
    1. قاعدة بيانات PostgreSQL:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql إعادة تشغيل
    2. خادم Qpid:
      > /opt/apigee/apigee-service/bin/apigee-service Edge-qpid-server إعادة تشغيل
    3. خادم Postgres:
      > /opt/apigee/apigee-service/bin/apigee-service Edge-postgres-server إعادة تشغيل
    4. خادم الإدارة:
      > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server إعادة تشغيل