Edge para la nube privada v4.18.01
Puedes restablecer el OpenLDAP, el administrador del sistema de Apigee Edge, el usuario de la organización de Edge y las contraseñas de Cassandra después de que se complete la instalación.
Restablecer la contraseña de OpenLDAP
Según la configuración de Edge, OpenLDAP se puede instalar de la siguiente manera:
- Una sola instancia de OpenLDAP instalada en el nodo del servidor de administración. Por ejemplo, en una configuración perimetral de 2 nodos, 5 o 9 nodos.
- Varias instancias de OpenLDAP instaladas en nodos del servidor de administración, configuradas con replicación de OpenLDAP. Por ejemplo, en una configuración de Edge de 12 nodos.
- Varias instancias de OpenLDAP instaladas en sus propios nodos, configuradas con replicación OpenLDAP. Por ejemplo, en una configuración de Edge de 13 nodos.
La forma de restablecer la contraseña de OpenLDAP depende de tu configuración.
Para una sola instancia de OpenLDAP instalada en el servidor de administración, realiza lo siguiente:
- En el nodo del servidor de administración, ejecuta el siguiente comando para crear la nueva contraseña de OpenLDAP:
> /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword - Ejecuta el siguiente comando para almacenar la nueva contraseña de acceso del servidor de administración:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPword
Este comando reinicia el servidor de administración.
En una configuración de la replicación de OpenLDAP con OpenLDAP instalado en nodos del servidor de administración, sigue los pasos anteriores en ambos nodos del servidor para actualizar la contraseña.
En una configuración de la replicación de OpenLDAP en la que OpenLDAP se encuentra en un nodo que no sea Management Server, asegúrate de cambiar la contraseña en ambos nodos de OpenLDAP y, luego, en ambos nodos de Management Server.
Restablecer la contraseña del administrador del sistema
Para restablecer la contraseña del administrador del sistema, debes restablecer la contraseña en dos lugares:
- Servidor de administración
- IU
Advertencia: Debes detener la IU de Edge antes de restablecer la contraseña de administrador del sistema. Dado que primero restableciste la contraseña en el servidor de administración, es posible que la IU aún use la contraseña anterior por un período breve. Si la IU realiza más de tres llamadas con la contraseña anterior, el servidor de OpenLDAP bloquea la cuenta del administrador del sistema durante tres minutos.
Para restablecer la contraseña de administrador del sistema:
- En el nodo de la IU, detén la IU de Edge:
> /opt/apigee/apigee-service/bin/apigee-service edge-ui stop - En el servidor de administración, ejecuta el siguiente comando para restablecer la contraseña:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW - Edita el archivo de configuración silenciosa que usaste para instalar la IU de Edge a fin de establecer las siguientes propiedades:
APIGEE_ADMINPW=newPW
SMTPHOST=smtp.gmail.com
SMTPPORT=465
SMTPUSER=foo@gmail.com
SMTPPASSWORD=bar
SMTP=y
SMTP SMTPFROM="Mi empresa <nota - Usa la utilidad apigee-setup
para restablecer la contraseña en la IU de Edge desde el archivo de configuración:
> /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile - (Solo si TLS está habilitado en la IU) Vuelve a habilitar TLS en la IU de Edge como se describe en Configura TLS para la IU de administración.
En un entorno de replicación de OpenLDAP con varios servidores de administración, el restablecimiento de la contraseña en un servidor de administración actualiza el otro. Sin embargo, debes actualizar todos los nodos de la IU de Edge por separado.
Restablecer la contraseña de usuario de la organización
Para restablecer la contraseña de un usuario de la organización, usa la utilidad apigee-servce a fin de invocar apigee-setup:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
Por ejemplo:
> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword
A continuación, te mostramos un ejemplo de archivo de configuración que puedes usar con la opción "-f":
USER_NAME= user@myCo.com USER_PWD= "foo12345" APIGEE_ADMINPW= adminPword
También puedes usar la API de Update user para cambiar la contraseña del usuario.
Reglas de contraseña del usuario de organización y administrador de Sys
Usa esta sección a fin de aplicar un nivel deseado de longitud y seguridad de la contraseña para los usuarios de administración de API. La configuración usa una serie de expresiones regulares preconfiguradas (y numeradas de forma única) para verificar el contenido de contraseñas (como mayúsculas, minúsculas, números y caracteres especiales). Escribe esta configuración en el archivo /opt/apigee/customer/application/management-server.properties. Si ese archivo no existe, créalo.
Después de editar management-server.properties, reinicia el servidor de administración:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Luego, puedes establecer calificaciones de seguridad de contraseñas agrupando diferentes combinaciones de expresiones regulares. Por ejemplo, puedes determinar que una contraseña con, al menos, una letra mayúscula y una letra minúscula obtenga una calificación de "3", pero que una contraseña con al menos una letra minúscula y un número obtenga una calificación más fuerte de "4".
|
Propiedades |
Descripción |
|---|---|
|
conf_security_password.validation.minimum. conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum. |
Úsalas para determinar las características generales de las contraseñas válidas. La calificación mínima predeterminada de seguridad de la contraseña (que se describe más adelante en la tabla) es 3. Ten en cuenta que password.validation.default.rating=2 es inferior a la calificación mínima requerida, lo que significa que si una contraseña ingresada está fuera de las reglas que configuras, la contraseña tiene una calificación de 2 y, por lo tanto, no es válida (por debajo de la calificación mínima de 3). |
|
A continuación, se muestran las expresiones regulares que identifican las características de las contraseñas. Ten en cuenta que cada una está numerada. Por ejemplo, “password.validation.regex.5=...” es la expresión número 5. Usarás estos números en una sección posterior del archivo para establecer diferentes combinaciones que determinen la seguridad general de la contraseña. |
|
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1: Todos los caracteres se repiten |
|
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: Al menos, una letra minúscula |
|
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3: Al menos, una letra mayúscula. |
|
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: Al menos un dígito |
|
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: Al menos, un carácter especial (sin incluir el guion bajo _) |
|
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: Al menos un guion bajo |
|
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7: más de una letra minúscula |
|
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8: más de una letra mayúscula |
|
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9: Más de un dígito |
|
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10: Más de un carácter especial (sin incluir guion bajo) |
|
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11: Más de un guion bajo |
|
Las siguientes reglas determinan la seguridad de las contraseñas según su contenido. Cada regla incluye una o más expresiones regulares de la sección anterior y le asigna una fuerza numérica. La seguridad numérica de una contraseña se compara con el número conf_security_password.validation.minimum.rating.required en la parte superior del archivo para determinar si una contraseña es válida o no. |
|
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
Cada regla está numerada. Por ejemplo, “password.validation.rule.3=...” es el número de regla 3. Cada regla usa el siguiente formato (a la derecha del signo igual): <regex-index-list>,<AND|O>,<rating> regex-index-list es la lista de expresiones regulares (por número de la sección anterior), junto con un operador AND|OR (es decir, considera todas o algunas de las expresiones en la lista). rating es la calificación de intensidad numérica que se le asigna a cada regla. Por ejemplo, la regla 5 significa que cualquier contraseña con al menos un carácter especial O un guion bajo obtiene una calificación de seguridad de 4. Con password.validation.minimum. |
|
conf_security_rbac.password.validation.enabled=true |
Establece la validación de la contraseña de control de acceso basado en funciones como falsa cuando se habilita el inicio de sesión único (SSO). El valor predeterminado es verdadero. |
Restableciendo contraseña de Cassandra
De forma predeterminada, Cassandra se envía con la autenticación inhabilitada. Si habilitas la autenticación, se usa un usuario predefinido llamado 'cassandra' con una contraseña de 'cassandra'. Puedes usar esta cuenta, establecer una contraseña diferente para esta cuenta o crear un usuario nuevo de Cassandra. Agrega, quita y modifica usuarios con las instrucciones CREATE, ALTER/DROP USER de Cassandra.
Para obtener información sobre cómo habilitar la autenticación de Cassandra, consulta Habilita la autenticación de Cassandra.
Para restablecer la contraseña de Cassandra, debes hacer lo siguiente:
- Establece la contraseña en cualquier nodo de Cassandra y se transmitirá a todos los nodos de Cassandra del anillo.
- Actualizar el servidor de administración, los procesadores de mensajes, los routers, los servidores Qpid, los servidores de Postgres y la pila de BaaS de cada nodo con la contraseña nueva
Para obtener más información, consulte http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.
Para restablecer la contraseña de Cassandra:
- Accede a cualquier nodo de Cassandra con la herramienta cqlsh y las credenciales predeterminadas. ? Solo tienes que cambiar la contraseña en un nodo de Cassandra y se transmitirá a todos los nodos de Cassandra del anillo:
> /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
Donde:- cassIP es la dirección IP del nodo de Cassandra.
- 9042 es el puerto de Cassandra.
- El usuario predeterminado es Cassandra.
- La contraseña predeterminada es Cassandra. Si cambiaste la contraseña anteriormente, usa la actual.
- Ejecuta el siguiente comando como el símbolo del sistema cqlsh> para actualizar la contraseña:
cqlsh> ALTER USER Casssandra WITH PASSWORD 'NEW_PASSWORD';
Si la contraseña nueva contiene un solo carácter de comillas, escríbela con un solo carácter de comillas. - Salga de la herramienta cqlsh:
cqlsh> exit - En el nodo del servidor de administración, ejecuta el siguiente comando:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
- Repite el paso 4 en lo siguiente:
- Todos los procesadores de mensajes
- Todos los routers
- Todos los servidores Qpid (edge-qpid-server)
- Servidores de Postgres (edge-postgres-server)
- En el nodo de la pila de BaaS para la versión 4.16.05.04 y posteriores, haz lo siguiente:
- Ejecuta el siguiente comando para generar una contraseña encriptada:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password
Este comando te solicita la contraseña de texto sin formato y muestra la contraseña encriptada en el formato:
SECURE:ae1b6dedbf6b26aaab8be5855030535355 - Configura los siguientes tokens en /opt/apigee/customer/application/usergrid.properties.
Si ese archivo no existe, créalo:
usergrid-deployment_cassandra.username=cassandra
usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc0
Si cambiaste el nombre de usuario, configura el valor de usergrid-deployment_cassandra.username según corresponda.
Asegúrate de incluir el prefijo “SECURE:” en la contraseña. De lo contrario, la pila de BaaS interpreta el valor como no encriptado.
Nota: Cada nodo de la pila de BaaS tiene su propia clave única para encriptar la contraseña. Por lo tanto, debes generar el valor encriptado de cada nodo de la pila de BaaS por separado. - Cambie la propiedad del archivo usergrid.properties al usuario "apigee":
> chown apigee:apigee /opt/apigee/customer/application/usergrid.properties - Configura el nodo de pila:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure - Reinicia la pila de BaaS:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart - Repite estos pasos para todos los gestos de pila de BaaS.
- Ejecuta el siguiente comando para generar una contraseña encriptada:
Se cambió la contraseña de Cassandra.
Restablece la contraseña de PostgreSQL
De forma predeterminada, la base de datos de PostgreSQL tiene dos usuarios definidos: “postgres” y “apigee”. Ambos usuarios tienen la contraseña predeterminada “postgres”. Usa el siguiente procedimiento para cambiar la contraseña predeterminada.
Cambia la contraseña en todos los nodos principales de Postgres. Si tienes dos servidores de Postgres configurados en modo principal o en espera, solo tienes que cambiar la contraseña en el nodo principal. Consulta Cómo configurar la replicación de instancia principal en Postgres para obtener más información.
- En el nodo principal de Postgres, cambie el directorio a /opt/apigee/apigee-postgresql/pgsql/bin.
- Configura la contraseña de usuario “postgres” de PostgreSQL:
- Accede a la base de datos de PostgreSQL mediante el siguiente comando:
> psql -h localhost -d apigee -U postgres - Cuando se te solicite, ingresa la contraseña de usuario "postgres" como "postgres".
- En el símbolo del sistema de PostgreSQL, ingresa el siguiente comando para cambiar la contraseña
predeterminada:
apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234'; - Sal de la base de datos de PostgreSQL con el siguiente comando:
apigee=> \q
- Accede a la base de datos de PostgreSQL mediante el siguiente comando:
- Configura la contraseña de usuario “apigee” de PostgreSQL:
- Accede a la base de datos de PostgreSQL con el siguiente comando:
> psql -h localhost -d apigee -U apigee - Cuando se le solicite, ingrese la contraseña de usuario “apigee” como “postgres”.
- En el símbolo del sistema de PostgreSQL, ingresa el siguiente comando para cambiar la contraseña predeterminada:
apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234'; - Sal de la base de datos de PostgreSQL con el siguiente comando:
apigee=> \q
- Accede a la base de datos de PostgreSQL con el siguiente comando:
- Configura APIGEE_HOME:
> Exporta APIGEE_HOME=/opt/apigee/edge-postgres-server - Encripta la nueva contraseña:
> sh /opt/apigee/edge-postgres-server/utils/scripts/applications/passwordgen.sh apigee1234
Este comando muestra la contraseña encriptada como se muestra a continuación. La contraseña encriptada comienza después del carácter ":" y no incluye ":".
String encriptada :WheaR8U4OeMEM11erxA3Cw== - Actualiza el nodo del servidor de administración con las nuevas contraseñas encriptadas para los usuarios de “postgres” y “apigee”.
- En el servidor de administración, cambie el directorio a /opt/apigee/customer/application.
- Edita el archivo management-server.properties para configurar las siguientes propiedades. Si este archivo no existe, créalo:
Nota: Algunas propiedades toman la contraseña de usuario encriptada "postgres" y otras toman la contraseña de usuario encriptada "apigee".- conf_pg-agent_password=newEncryptedPasswordForUsuario dePostgres
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUsuario
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUsuario
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUsuario
- conf_analytics_aries.pg.password=NuevoEncryptedPasswordForUsuario dePostgres
- Asegúrese de que el archivo sea propiedad del usuario “apigee”:
> chown apigee:apigee management-server.properties
- Actualiza todos los nodos de Postgres Server y Qpid Server con la nueva contraseña encriptada.
- En el servidor de Postgres o el servidor de Qpid, cambie el directorio a /opt/apigee/customer/application.
- Edita los siguientes archivos. Si estos archivos no existen, créalos:
- postgres-server.properties.
- qpid-server.properties
- Agrega las siguientes propiedades a los archivos:
Nota: Todas estas propiedades toman la contraseña de usuario encriptada para "postgres".- conf_pg-agent_password=newEncryptedPasswordForUsuario dePostgres
- conf_pg-ingest_password=newEncryptedPasswordForPostgresUsuario
- conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUsuario
- conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUsuario
- conf_analytics_aries.pg.password=NuevoEncryptedPasswordForUsuario dePostgres
- Asegúrese de que los archivos sean propiedad del usuario “apigee”:
> chown apigee:apigee postgres-server.properties
> chown apigee:apigee qpid-server.properties
- Reinicia los siguientes componentes en este orden:
- Base de datos de PostgreSQL:
> /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart - Servidor Qpid:
> /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart - Servidor de Postgres:
> /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart - Servidor de administración:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Base de datos de PostgreSQL: