Réinitialisation des mots de passe périphériques

Edge for Private Cloud v4.18.01

Vous pouvez réinitialiser les mots de passe OpenLDAP, administrateur système Apigee Edge, utilisateur de l'organisation Edge et Cassandra une fois l'installation terminée.

Réinitialiser le mot de passe OpenLDAP

Selon votre configuration Edge, OpenLDAP peut être installé comme:

  • Une seule instance d'OpenLDAP installée sur le nœud du serveur de gestion. Par exemple, dans une configuration Edge à 2, 5 ou 9 nœuds.
  • Plusieurs instances OpenLDAP installées sur les nœuds du serveur de gestion et configurées avec la réplication OpenLDAP. Par exemple, dans une configuration Edge à 12 nœuds.
  • Plusieurs instances OpenLDAP installées sur leurs propres nœuds, configurées avec la réplication OpenLDAP. Par exemple, dans une configuration Edge à 13 nœuds.

La façon dont vous réinitialisez le mot de passe OpenLDAP dépend de votre configuration.

Pour une instance unique d'OpenLDAP installée sur le serveur de gestion, procédez comme suit:

  1. Sur le nœud du serveur de gestion, exécutez la commande suivante pour créer le nouveau mot de passe OpenLDAP:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o ancienPword -n newPword
  2. Exécutez la commande suivante pour stocker le nouveau mot de passe permettant au serveur de gestion d'y accéder:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server store_ldap_credentials -p newPword

    Cette commande redémarre le serveur de gestion.

Dans une configuration de réplication OpenLDAP avec OpenLDAP installé sur les nœuds du serveur de gestion, suivez les étapes ci-dessus sur les deux nœuds de ce serveur pour mettre à jour le mot de passe.

Dans une configuration de réplication OpenLDAP où OpenLDAP se trouve sur un nœud autre que le serveur de gestion, veillez à modifier d'abord le mot de passe sur les deux nœuds OpenLDAP, puis sur les deux nœuds du serveur de gestion.

Réinitialiser le mot de passe administrateur système

La réinitialisation du mot de passe administrateur système nécessite de le réinitialiser à deux endroits:

  • Serveur de gestion
  • UI

Avertissement: Vous devez arrêter l'interface utilisateur Edge avant de réinitialiser le mot de passe de l'administrateur système. Étant donné que vous réinitialisez d'abord le mot de passe sur le serveur de gestion, il peut s'écouler une courte période pendant laquelle l'interface utilisateur utilise encore l'ancien mot de passe. Si l'UI effectue plus de trois appels à l'aide de l'ancien mot de passe, le serveur OpenLDAP verrouille le compte d'administrateur système pendant trois minutes.

Pour réinitialiser le mot de passe administrateur système:

  1. Sur le nœud d'interface utilisateur, arrêtez l'interface utilisateur Edge:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-ui stop
  2. Sur le serveur de gestion, exécutez la commande suivante pour réinitialiser le mot de passe:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. Modifiez le fichier de configuration silencieuse que vous avez utilisé pour installer l'interface utilisateur Edge pour définir les propriétés suivantes:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTP=bar
    SMTPSSL=y
    SMTPMAILFROM="Mon entreprise <myco@company.com> inclut toutes les propriétés SMTP, car toutes les propriétés de l'UI sont <myco@company.com>


  4. Utilisez l'utilitaire apigee-setup pour réinitialiser le mot de passe sur l'interface utilisateur Edge à partir du fichier de configuration:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Uniquement si TLS est activé sur l'interface utilisateur) Réactivez TLS dans l'interface utilisateur Edge, comme décrit dans la section Configurer TLS pour l'interface utilisateur de gestion.

Dans un environnement de réplication OpenLDAP comportant plusieurs serveurs de gestion, la réinitialisation du mot de passe sur l'un met automatiquement à jour l'autre serveur de gestion. Cependant, vous devez mettre à jour tous les nœuds d'interface utilisateur Edge séparément.

Réinitialiser le mot de passe de l'utilisateur de l'organisation

Pour réinitialiser le mot de passe d'un utilisateur d'organisation, utilisez l'utilitaire apigee-servce pour appeler "apigee-setup" :

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Exemple :

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword 

Vous trouverez ci-dessous un exemple de fichier de configuration que vous pouvez utiliser avec l'option "-f" :

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword  

Vous pouvez également utiliser l'API Update user (Mettre à jour l'utilisateur) pour modifier le mot de passe utilisateur.

Règles relatives aux mots de passe de l'administrateur système et de l'utilisateur de l'organisation

Dans cette section, vous pouvez appliquer le niveau souhaité de longueur et de niveau de sécurité des mots de passe aux utilisateurs de la gestion d'API. Ils utilisent une série d'expressions régulières préconfigurées (et numérotées de manière unique) pour vérifier le contenu des mots de passe (majuscules et minuscules, chiffres et caractères spéciaux, par exemple). Écrivez ces paramètres dans le fichier /opt/apigee/customer/application/management-server.properties. Si ce fichier n'existe pas, créez-le.

Après avoir modifié management-server.properties, redémarrez le serveur de gestion:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Vous pouvez ensuite définir le niveau de sécurité du mot de passe en regroupant différentes combinaisons d'expressions régulières. Par exemple, vous pouvez déterminer qu'un mot de passe avec au moins une lettre majuscule et une lettre minuscule est classé "3", mais qu'un mot de passe composé d'au moins une lettre minuscule et d'un chiffre obtient une note plus élevée de "4".

Propriétés

Description

"conf_security_password.validation.minimum".
password.length=8

conf_security_password.validation.default.rating=2

"conf_security_password.validation.minimum".
rating.required=3

Utilisez-les pour déterminer les caractéristiques générales des mots de passe valides. La valeur minimale par défaut du niveau de sécurité du mot de passe (décrit plus loin dans le tableau) est de 3.

Notez que mot de passe.validation.default.rating=2 est inférieur à la note minimale requise. Cela signifie que si un mot de passe saisi ne respecte pas les règles que vous avez configurées, il reçoit la note de 2 et n'est donc pas valide (sous la note minimale de 3).

Les expressions régulières suivantes permettent d'identifier les caractéristiques des mots de passe. Notez que chaque élément est numéroté. Par exemple, "password.validation.regex.5=..." est l'expression 5. Vous utiliserez ces chiffres dans une section ultérieure du fichier pour définir différentes combinaisons qui déterminent le niveau de sécurité général du mot de passe.

conf_security_password.validation.regex.1=^(.)\\1+$

1 – Tous les caractères sont répétés

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – Au moins une lettre minuscule

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – Au moins une lettre majuscule

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – Au moins un chiffre

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 : au moins un caractère spécial (sans trait de soulignement _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – Au moins un trait de soulignement

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 – Plusieurs lettres minuscules

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – Plusieurs lettres majuscules

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – Plusieurs chiffres

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 : plusieurs caractères spéciaux (hors trait de soulignement)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – Plusieurs traits de soulignement

Les règles suivantes déterminent le niveau de sécurité d'un mot de passe en fonction de son contenu. Chaque règle inclut une ou plusieurs expressions régulières de la section précédente et lui attribue une force numérique. Le niveau numérique d'un mot de passe est comparé à la valeur conf_security_password.validation.minimum.rating.required figurant en haut de ce fichier pour déterminer si un mot de passe est valide ou non.

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

Chaque règle est numérotée. Par exemple, "password.validation.rule.3=..." correspond à la règle numéro 3.

Chaque règle respecte le format suivant (à droite du signe égal):

<regex-index-list>,<AND|OR>,<rating>

regex-index-list est la liste d'expressions régulières (par numéro de la section précédente), avec un opérateur AND|OR (qui signifie que toutes les expressions listées sont prises en compte, ou une seule d'entre elles).

rating est la valeur numérique du niveau de force attribué à chaque règle.

Par exemple, la règle 5 signifie que tout mot de passe comportant au moins un caractère spécial OU un trait de soulignement obtient une évaluation de force de 4. Avec password.validation.minimum.
rating.required=3 en haut du fichier, un mot de passe avec une note de 4 est valide.

conf_security_rbac.password.validation.enabled=true

Définissez la validation des mots de passe de contrôle des accès basés sur les rôles sur "false" lorsque l'authentification unique (SSO) est activée. La valeur par défaut est "true".

Réinitialiser le mot de passe Cassandra

Par défaut, l'authentification est désactivée dans Cassandra. Si vous activez l'authentification, elle utilise un utilisateur prédéfini nommé 'cassandra dont le mot de passe est 'cassandra. Vous pouvez utiliser ce compte, définir un mot de passe différent pour celui-ci ou créer un utilisateur Cassandra. Ajoutez, supprimez et modifiez des utilisateurs à l'aide des instructions Cassandra CREATE/ALTER/DROP USER.

Pour en savoir plus sur l'activation de l'authentification Cassandra, consultez la page Activer l'authentification Cassandra.

Pour réinitialiser le mot de passe Cassandra, procédez comme suit:

  • Définissez le mot de passe sur n'importe quel nœud Cassandra pour qu'il soit diffusé sur tous les nœuds Cassandra de l'anneau.
  • Mettez à jour le serveur de gestion, les processeurs de messages, les routeurs, les serveurs Qpid, les serveurs Postgres et la pile BaaS sur chaque nœud avec le nouveau mot de passe.

Pour en savoir plus, consultez http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Pour réinitialiser le mot de passe Cassandra:

  1. Connectez-vous à un nœud Cassandra à l'aide de l'outil cqlsh et des identifiants par défaut. Vous ne devez modifier le mot de passe que sur un seul nœud Cassandra pour qu'il soit diffusé sur tous les nœuds Cassandra du cercle:
    > /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Où :
    • cassIP est l'adresse IP du nœud Cassandra.
    • 9042 est le port Cassandra.
    • L'utilisateur par défaut est cassandra.
    • Le mot de passe par défaut est cassandra. Si vous avez déjà modifié le mot de passe, utilisez le mot de passe actuel.
  2. Exécutez la commande suivante en tant qu'invite cqlsh> pour mettre à jour le mot de passe:
    cqlsh> ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Si le nouveau mot de passe contient un guillemet simple, faites-le précéder d'un guillemet simple.
  3. Quittez l'outil cqlsh:
    cqlsh> exit
  4. Sur le nœud Management Server, exécutez la commande suivante :
    > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Vous pouvez éventuellement transmettre un fichier à la commande contenant le nouveau nom d'utilisateur et le mot de passe (le nouveau mot de passe)
    la commande NOM-UTILISATEUR et le mot de passe -CA.





  5. Répétez l'étape 4 sur :
    • Tous les processeurs de messages
    • Tous les routeurs
    • Tous les serveurs Qpid (edge-qpid-server)
    • Serveurs Postgres (edge-postgres-server)
  6. Sur le nœud de pile BaaS pour les versions 4.16.05.04 et ultérieures :
    1. Exécutez la commande suivante pour générer un mot de passe chiffré:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      Cette commande vous invite à saisir le mot de passe en texte brut et renvoie le mot de passe chiffré au format suivant:
      SECURE:ae1b6dedbf6b26aaab8bee835a915c05e5a91bee715a915c05e5a91bee715a91bee735a9c5c835a915c815a910c835a910c815a925c815
    2. Définissez les jetons suivants dans /opt/apigee/customer/application/usergrid.properties. Si ce fichier n'existe pas, créez-le :
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09
      . Exemple de nom d'utilisateur par défaut :

      Si vous avez modifié le nom d'utilisateur, définissez la valeur de usergrid-deployment_cassandra.username en conséquence.

      Veillez à inclure le préfixe SECURE: dans le mot de passe. Sinon, la pile BaaS interprète la valeur comme non chiffrée.

      Remarque: Chaque nœud de pile BaaS possède sa propre clé unique permettant de chiffrer le mot de passe. Vous devez donc générer la valeur chiffrée séparément sur chaque nœud de pile BaaS.
    3. Changez la propriété du fichier usergrid.properties pour l'utilisateur "apigee" :
      > chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Configurez le nœud de pile:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
    5. Redémarrez la pile BaaS:
      > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. Répétez ces étapes pour tous les hochements de tête de pile BaaS.

Le mot de passe Cassandra a été modifié.

Réinitialiser le mot de passe PostgreSQL

Par défaut, la base de données PostgreSQL a deux utilisateurs définis: "postgres" et "apigee". Le mot de passe par défaut des deux utilisateurs est "postgres". Procédez comme suit pour modifier le mot de passe par défaut.

Modifiez le mot de passe sur tous les nœuds maîtres Postgres. Si vous avez deux serveurs Postgres configurés en mode maître/veille, il vous suffit de modifier le mot de passe sur le nœud maître. Pour en savoir plus, consultez la section Configurer la réplication en mode maître pour Postgres.

  1. Sur le nœud Postgres maître, remplacez le répertoire par /opt/apigee/apigee-postgresql/pgsql/bin.
  2. Définissez le mot de passe utilisateur "postgres" PostgreSQL :
    1. Connectez-vous à la base de données PostgreSQL à l'aide de la commande suivante:
      > psql -h localhost -d apigee -U postgres
    2. Lorsque vous y êtes invité, saisissez le mot de passe utilisateur "postgres" sous la forme "postgres".
    3. Dans l'invite de commande PostgreSQL, entrez la commande suivante pour modifier le mot de passe par défaut:
      apigee=> ALTER USER postgres WITH PASSWORD 'apigee1234';
    4. Quittez la base de données PostgreSQL à l'aide de la commande suivante:
      apigee=> \q
  3. Définissez le mot de passe utilisateur PostgreSQL "apigee" :
    1. Connectez-vous à la base de données PostgreSQL à l'aide de la commande suivante:
      > psql -h localhost -d apigee -U apigee
    2. Lorsque vous y êtes invité, entrez le mot de passe d'utilisateur « apigee » comme « postgres ».
    3. Dans l'invite de commande PostgreSQL, entrez la commande suivante pour modifier le mot de passe par défaut:
      apigee=> ALTER USER apigee WITH PASSWORD 'apigee1234';
    4. Quittez la base de données PostgreSQL à l'aide de la commande suivante:
      apigee=> \q
  4. Définissez APIGEE_HOME:
    > exporter APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Chiffrez le nouveau mot de passe:
    > sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Cette commande renvoie le mot de passe chiffré, comme indiqué ci-dessous. Le mot de passe chiffré commence après le caractère ":" et ne contient pas ce caractère.
    Chaîne chiffrée :WheaR8U4OeMEM11erxA3Cw==
  6. Mettez à jour le nœud du serveur de gestion avec les nouveaux mots de passe chiffrés pour les utilisateurs "postgres" et "apigee".
    1. Sur le serveur de gestion, remplacez le répertoire par /opt/apigee/customer/application.
    2. Modifiez le fichier management-server.properties pour définir les propriétés suivantes. Si ce fichier n'existe pas, créez-le:
      Remarque: Certaines propriétés utilisent le mot de passe utilisateur chiffré "postgres" et d'autres le mot de passe utilisateur chiffré "apigee".
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Assurez-vous que le fichier appartient à l'utilisateur "apigee" :
      > chown apigee:apigee management-server.properties
  7. Mettez à jour tous les nœuds Postgres Server et Qpid avec le nouveau mot de passe chiffré.
    1. Sur le nœud Postgres Server ou Qpid Server, remplacez le répertoire par /opt/apigee/customer/application.
    2. Modifiez les fichiers suivants. Si ces fichiers n'existent pas, créez-les :
      • postgres-server.properties
      • qpid-server.properties
    3. Ajoutez les propriétés suivantes aux fichiers:
      Remarque: Toutes ces propriétés utilisent le mot de passe utilisateur "postgres" chiffré.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Assurez-vous que les fichiers appartiennent à l'utilisateur "apigee" :
      > chown apigee:apigee postgres-server.properties
      > chown apigee:apigee qpid-server.properties
  8. Redémarrez les composants suivants dans l'ordre indiqué :
    1. Base de données PostgreSQL:
      > /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Serveur Qpid:
      > /opt/apigee/apigee-service/bin/apigee-service Edge-qpid-server restart
    3. Serveur Postgres:
      > /opt/apigee/apigee-service/bin/apigee-service Edge-postgres-server restart
    4. Serveur de gestion:
      > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server restart