Resetowanie haseł na serwerach brzegowych

Edge for Private Cloud w wersji 4.18.01

Możesz zresetować OpenLDAP, administratora systemu Apigee Edge, użytkownika organizacji Edge Hasła Cassandra po zakończeniu instalacji.

Zresetuj hasło OpenLDAP

W zależności od konfiguracji Edge możesz zainstalować OpenLDAP jako:

  • W węźle serwera zarządzania zainstalowano jedną instancję OpenLDAP. Na przykład w parametrze Konfiguracja Edge z 2 węzłami, 5 węzłami lub 9 węzłami.
  • Wiele instancji OpenLDAP zainstalowanych w węzłach serwera zarządzania skonfigurowanych przy użyciu OpenLDAP replikacji danych. na przykład w konfiguracji Edge z 12 węzłami.
  • Wiele instancji OpenLDAP zainstalowanych w własnych węzłach skonfigurowanych przy użyciu OpenLDAP replikacji danych. na przykład w konfiguracji Edge z 13 węzłami.

Sposób resetowania hasła OpenLDAP zależy od konfiguracji.

W przypadku pojedynczej instancji OpenLDAP zainstalowanej na serwerze zarządzania wykonaj :

  1. W węźle serwera zarządzania uruchom następujące polecenie, aby utworzyć nowy katalog OpenLDAP hasło:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o oldPword -n newPword
  2. Uruchom następujące polecenie, aby zapisać nowe hasło, do którego ma mieć dostęp zarządzanie Serwer:
    > /opt/apigee/apigee-service/bin/apigee-service border-management-server store_ldap_credentials -p newPword

    To polecenie ponownie uruchomi serwer zarządzania.

W konfiguracji replikacji OpenLDAP z zainstalowanym plikiem OpenLDAP na serwerze zarządzania: węzłów, wykonaj powyższe kroki w obu węzłach serwera zarządzania, aby zaktualizować hasła.

W konfiguracji replikacji OpenLDAP, w którym OpenLDAP znajduje się w węźle innym niż Zarządzanie Server, pamiętaj, aby najpierw zmienić hasło w obu węzłach OpenLDAP, a następnie w obu węzłach. Węzły serwera zarządzania.

Resetowanie systemowego hasła administratora

Zresetowanie systemowego hasła administratora wymaga zresetowania hasła w dwóch miejscach:

  • Serwer zarządzania
  • Interfejs użytkownika
.

Ostrzeżenie: przed zresetowaniem administratora systemu musisz zatrzymać interfejs Edge hasła. Ponieważ najpierw zresetujesz hasło na serwerze zarządzania, może minąć przez okres, gdy interfejs użytkownika nadal używa starego hasła. Jeśli interfejs użytkownika wykonuje więcej niż 3 wywołania używając starego hasła, serwer OpenLDAP blokuje konto administratora systemu na trzy min.

Aby zresetować hasło administratora systemu:

  1. W węźle UI zatrzymaj interfejs Edge:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-ui stop
  2. Na serwerze zarządzania uruchom następujące polecenie, aby zresetować hasło:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. Edytuj plik konfiguracji cichej użyty do zainstalowania interfejsu Edge, aby ustawić następujące ustawienia: właściwości:
    APIGEE_ADMINPW=newPW
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="Moja firma <moja_firma.com>"

    Podczas przekazywania nowego hasła musisz dodać właściwości SMTP, ponieważ wszystkie zostaną zresetowane.
  4. Użyj parametru apigee-setup narzędzie do resetowania hasła w interfejsie Edge z pliku konfiguracyjnego:
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Tylko jeśli protokół TLS jest włączony w UI) Włącz go ponownie w interfejsie Edge jako opisane w artykule Konfigurowanie TLS na potrzeby zarządzania

W środowisku replikacji OpenLDAP z wieloma serwerami zarządzania zresetowanie hasła na jednym serwerze zarządzania powoduje zaktualizowanie drugiego serwera zarządzania. automatycznie. Musisz jednak zaktualizować wszystkie węzły Edge UI oddzielnie.

Resetowanie hasła użytkownika organizacji

Aby zresetować hasło użytkownika organizacji, użyj narzędzia apigee-servce do wywołania apigee-setup:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
 [-h] 
 [-u USER_EMAIL] 
 [-p USER_PWD]
 [-a ADMIN_EMAIL] 
 [-P APIGEE_ADMINPW] 
 [-f configFile]

Na przykład:

> /opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p foo12345 -a admin@myCo.com -P adminPword

Poniżej znajduje się przykładowy plik konfiguracyjny, którego możesz użyć z klawiszem „-f”. opcja:

USER_NAME= user@myCo.com
USER_PWD= "foo12345"
APIGEE_ADMINPW= adminPword

Możesz też użyć interfejsu API Update user, aby: zmień hasło użytkownika.

Hasło administratora Sys i użytkownika organizacji Reguły

W tej sekcji możesz wymusić stosowanie żądanego poziomu długości i siły hasła w interfejsie API i innymi użytkownikami. Ustawienia korzystają z serii wstępnie skonfigurowanych (i jednoznacznie numerowanych) zwykłych wyrażenia sprawdzające treść hasła (takie jak wielkie litery, małe litery, cyfry i specjalne znaków). Zapisz te ustawienia w pliku /opt/apigee/customer/application/management-server.properties . Jeśli plik nie istnieje, utwórz go.

Po wprowadzeniu zmian w pliku management-server.properties ponownie uruchom plik serwer zarządzania:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Następnie możesz ustawić oceny siły haseł, grupując różne kombinacje zwykłych haseł wyrażeń. Możesz na przykład określić, że hasło zawiera co najmniej jedną wielką i jeden mała litera otrzymuje ocenę siły wynoszącą „3”, ale hasło zawiera co najmniej jedną małą literę a 1 cyfra ma wyższe oceny, czyli 4.

Usługi

Opis

conf_security_password.validation.minimum.
password.length=8

conf_security_password.validation.default.rating=2

conf_security_password.validation.minimum.
rating.required=3

Za ich pomocą możesz określić ogólne cechy prawidłowych haseł. Domyślny minimalna ocena siły hasła (opisana w dalszej części tabeli) to 3.

Zwróć uwagę, że wartość parametrupassword.validation.default.rating=2 jest niższa niż ocena minimalna wymaganych. Oznacza to, że jeśli podane hasło nie pasuje do zasad, konfiguracji, hasło ma ocenę 2 i jest nieprawidłowe (poniżej minimalnej oceny z 3).

Poniżej znajdują się wyrażenia regularne określające cechy charakterystyczne haseł. Notatka by każdy z nich był ponumerowany. Na przykład „password.validation.regex.5=...” to wyrażenie numer 5. Tych numerów użyjesz w dalszej części pliku, aby ustawić różne kombinacje, które określają ogólną siłę hasła.

conf_security_password.validation.regex.1=^(.)\\1+$

1 – powtórzenia wszystkich znaków

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2 – co najmniej 1 mała litera

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3 – co najmniej jedna wielka litera

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4 – co najmniej 1 cyfra.

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5 – co najmniej jeden znak specjalny (bez podkreślenia _).

conf_security_password.validation.regex.6=^.*[_]+.*$

6 – co najmniej jedno podkreślenie,

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7 – więcej niż 1 mała litera

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8 – więcej niż jedna wielka litera

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9 – więcej niż jedna cyfra.

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10 – więcej niż jeden znak specjalny (bez podkreślenia).

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11 – więcej niż jedno podkreślenie

Te reguły określają siłę hasła na podstawie jego zawartości. Każda reguła zawiera co najmniej jedno wyrażenie regularne z poprzedniej sekcji i przypisuje jego wartość liczbową. Siła liczbowa hasła jest porównywana z parametrem conf_security_password.validation.minimum.rating.required number na początku tego pliku aby sprawdzić, czy hasło jest prawidłowe.

conf_security_password.validation.rule.1=1,AND,0

conf_security_password.validation.rule.2=2,3,4,AND,4

conf_security_password.validation.rule.3=2,9,AND,4

conf_security_password.validation.rule.4=3,9,AND,4

conf_security_password.validation.rule.5=5,6,OR,4

conf_security_password.validation.rule.6=3,2,AND,3

conf_security_password.validation.rule.7=2,9,AND,3

conf_security_password.validation.rule.8=3,9,AND,3

Każda reguła jest ponumerowana. Przykład: "password.validation.rule.3=..." jest reguła numer 3.

Każda reguła ma następujący format (po prawej stronie znaku równości):

&lt;regex-index-list&gt;,&lt;AND|OR&gt;,&lt;rating&gt;

regex-index-list to lista wyrażeń regularnych (wg liczby z poprzedniej sekcji) wraz z operatorem AND|OR (co oznacza, że wszystkich wymienionych wyrażeń albo dowolnego z nich).

Parametr rating to liczbowa ocena siły przyznawana każdej regule.

Na przykład reguła 5 oznacza, że każde hasło zawierające co najmniej jeden znak specjalny LUB jeden podkreślenie otrzymuje ocenę siły równą 4. Za pomocą metody passwords.validation.minimum.
price.required=3 na górze pliku, hasło z oceną 4 jest prawidłowe.

conf_security_rbac.password.validation.enabled=true

Ustaw weryfikację hasła na podstawie roli na wartość Fałsz podczas logowania jednokrotnego jest włączona. Wartość domyślna to true (prawda).

Resetuję hasło Cassandra

Domyślnie urządzenie Cassandra wysyła produkty z wyłączonym uwierzytelnianiem. Jeśli włączysz uwierzytelnianie, korzysta ze wstępnie zdefiniowanego użytkownika o nazwie 'cassandra' i hasłem „cassandra”. Możesz używać tego konta, ustaw inne hasło do tego konta lub utwórz nowe konto użytkownika Cassandra. Dodawaj, usuwaj i modyfikować użytkowników przy użyciu instrukcji Cassandra CREATE/ALTER/DROP USER.

Więcej informacji o włączaniu uwierzytelniania Cassandra znajdziesz w artykule Włączanie uwierzytelniania Cassandra.

Aby zresetować hasło Cassandra:

  • Ustawienie hasła na dowolnym węźle Cassandra zostanie przesłane do całej sieci Cassandra. węzły w pierścieniu
  • aktualizowanie serwerów zarządzania, procesorów wiadomości, routerów, serwerów Qpid i Postgres; i stosu BaaS w każdym węźle z nowym hasłem.

Więcej informacji znajdziesz na stronie http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Aby zresetować hasło Cassandra:

  1. Zaloguj się w dowolnym węźle Cassandra przy użyciu narzędzia cqlsh i domyślnego dane logowania. Wystarczy zmienić hasło tylko w jednym węźle Cassandra. komunikat do wszystkich węzłów Cassandra w pierścieniu:
    &gt; /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Gdzie:
      ,
    • cassIP to adres IP. węzła Cassandra.
    • 9042 to Cassandra portu.
    • Domyślnym użytkownikiem jest cassandra.
    • Domyślne hasło to cassandra. Jeśli hasło zostało przez Ciebie zmienione poprzednio użyj obecnego hasła.
  2. Uruchom poniższe polecenie w wierszu cqlsh&gt;, aby zaktualizować hasło:
    cqlsh&gt; ALTERNATYWNA UŻYTKOWNIK – Kassandra Z PASSWORD 'NEW_PASSWORD';

    Jeśli nowe hasło zawiera pojedynczy znak cudzysłowu, zmień jego znaczenie, poprzedzając go pojedynczym cudzysłowem znak cudzysłowu.
  3. Zamknij narzędzie cqlsh:
    cqlsh&gt; zakończ
  4. W węźle serwera zarządzania uruchom następujące polecenie:
    &gt; /opt/apigee/apigee-service/bin/apigee-service border-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Opcjonalnie do polecenia możesz przekazać plik zawierający nową nazwę użytkownika i hasło:
    &gt; apigee-service serwer brzegowy-zarządzanie-serwer_danych_uwierzytelniających_cassandra_-f configFile

    Gdzie configFile zawiera parametr obserwowanie:
    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD

    To polecenie automatycznie ponownie uruchomi serwer zarządzania.
  5. Powtórz krok 4 na:
    • Wszystkie procesory wiadomości
    • Wszystkie routery
    • Wszystkie serwery Qpid (edge-qpid-server)
    • Serwery Postgres (edge-postgres-server)
  6. W węźle stosu BaaS w wersji 4.16.05.04 i nowszych:
    1. Uruchom to polecenie, aby wygenerować zaszyfrowane hasło:
      &gt; /opt/apigee/apigee-service/bin/apigee-service baas-usergrid secure_password

      To polecenie wyświetla monit o podanie hasła w postaci zwykłego tekstu i zwraca zaszyfrowane hasło w: formularz:
      SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050
    2. Ustaw poniższe tokeny w /opt/apigee/customer/application/usergrid.properties. Jeśli plik nie istnieje, utwórz go:
      usergrid-deployment_cassandra.username=cassandra
      usergrid-deployment_cassandra.password=SECURE:ae1b6dedbf6b26aaab8bee815a910737c1c15b55f3505c239e43bc09f8050

      W tym przykładzie użyto domyślnej nazwy użytkownika Cassandra. Jeśli nazwa użytkownika została zmieniona, ustaw parametr odpowiednio usergrid-deployment_cassandra.username.

      Nie zapomnij dodać pola „SECURE:” jego prefiksu. W przeciwnym razie stos BaaS interpretuje wartość jako niezaszyfrowaną.

      Uwaga: każdy węzeł stosu BaaS ma własny unikalny klucz służący do szyfrowania hasła. Dlatego musisz wygenerować zaszyfrowaną wartość w każdym węźle stosu BaaS. oddzielnie.
    3. Zmień własność pliku usergrid.properties na „apigee” użytkownik:
      Chown apigee:apigee /opt/apigee/customer/application/usergrid.properties
    4. Skonfiguruj węzeł stosu:
      &gt; /opt/apigee/apigee-service/bin/apigee-service baas-usergrid setup
    5. Uruchom ponownie stos BaaS:
      &gt; /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
    6. Powtórz te kroki w przypadku wszystkich negatywów stosu BaaS.

Hasło Cassandra zostało zmienione.

Resetuję hasło PostgreSQL

Domyślnie baza danych PostgreSQL ma zdefiniowanych 2 użytkowników: „postgres” i „apigee”. Obaj użytkownicy mają domyślne hasło „postgres”. Wykonaj poniższe czynności, aby zmienić hasło domyślne.

Zmień hasło we wszystkich węzłach głównych Postgres. Jeśli masz skonfigurowane 2 serwery Postgres w trybie mastera/gotowania, wystarczy zmienić hasło tylko w węźle głównym. Zobacz Skonfiguruj replikację w trybie Głównym dla serwera Postgres.

  1. W węźle głównym Postgres zmień katalog na /opt/apigee/apigee-postgresql/pgsql/bin.
  2. Ustawianie dla PostgreSQL „postgres” hasło użytkownika:
    1. Zaloguj się do bazy danych PostgreSQL, używając polecenia:
      &gt; psql -h localhost -d apigee – U postgres
    2. Gdy pojawi się prośba, wpisz „postgres”. jako „postgres”.
    3. W wierszu polecenia PostgreSQL wpisz następujące polecenie, aby zmienić wartość domyślną hasło:
      apigee=&gt; ALTER UŻYTKOWNIK – postgres Z HASŁOM „apigee1234”;
    4. Wyjdź z bazy danych PostgreSQL, używając polecenia:
      apigee=&gt; \q
  3. Ustawianie „apigee” PostgreSQL hasło użytkownika:
    1. Zaloguj się do bazy danych PostgreSQL, używając polecenia:
      &gt; psql -h localhost -d apigee -U apigee
    2. Gdy pojawi się prośba, wpisz „apigee” jako „postgres”.
    3. W wierszu polecenia PostgreSQL wpisz następujące polecenie, aby zmienić wartość domyślną hasło:
      apigee=&gt; ALTERNATYWNY POZIOM UŻYTKOWNIKA WITH PASSWORD 'apigee1234';
    4. Wyjdź z bazy danych PostgreSQL, używając polecenia:
      apigee=&gt; \q
  4. Ustaw APIGEE_HOME:
    eksportuj APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Zaszyfruj nowe hasło:
    &gt; sz /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    To polecenie zwraca zaszyfrowane hasło, jak pokazano poniżej. Zaszyfrowane hasło zaczyna się po „:” i nie zawiera znaku „:”.
    Zaszyfrowany ciąg znaków :WheaR8U4OeMEM11erxA3Cw==
  6. zaktualizuj węzeł serwera zarządzania o nowe zaszyfrowane hasła dla „postgres” i „apigee” użytkowników.
    1. Na serwerze zarządzania zmień katalog na /opt/apigee/customer/application.
    2. Edytuj plik management-server.properties, aby ustawić następujące właściwości. Jeśli ten plik nie istnieje, utwórz go:
      Uwaga: niektóre usługi przyjmują szyfrowany „postgres”. hasło użytkownika, a niektóre korzystają z zaszyfrowanego „apigee” użytkownik hasła.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForApigeeUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    3. Sprawdź, czy plik należy do „apigee” użytkownik:
      &gt; chown apigee:apigee management-server.properties
  7. Zaktualizuj wszystkie węzły Postgres Server i Qpid Server, używając nowego zaszyfrowanego hasła.
    1. W węźle Postgres Server lub Qpid Server zmień katalog na /opt/apigee/customer/application.
    2. Edytuj następujące pliki. Jeśli te pliki nie istnieją, utwórz je:
      • postgres-server.properties
      • qpid-server.properties
    3. Dodaj do plików te właściwości:
      Uwaga: wszystkie te właściwości zaszyfrowany „postgres” hasło użytkownika.
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Sprawdź, czy pliki należą do zasobu „apigee” użytkownik:
      &gt; chown apigee:apigee postgres-server.properties
      &gt; chown apigee:apigee qpid-server.properties
  8. Uruchom ponownie te komponenty w tej kolejności:
    1. Baza danych PostgreSQL:
      &gt; /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Serwer Qpid:
      &gt; /opt/apigee/apigee-service/bin/apigee-service Edge-qpid-server restart
    3. Serwer Postgres:
      &gt; /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Serwer zarządzania:
      &gt; /opt/apigee/apigee-service/bin/apigee-service Edge-management-server restart