Edge para nuvem privada v4.18.05
Redefina as senhas do OpenLDAP, do administrador do sistema Apigee Edge, do usuário da organização do Edge e do Cassandra após a conclusão da instalação.
Redefinir senha do OpenLDAP
Dependendo da configuração do Edge, o OpenLDAP pode ser instalado como:
- Uma única instância do OpenLDAP instalada no nó do Servidor de gerenciamento. Por exemplo, em uma configuração de borda com dois, cinco ou nove nós.
- Várias instâncias do OpenLDAP instaladas nos nós do servidor de gerenciamento, configuradas com a replicação OpenLDAP. Por exemplo, em uma configuração do Edge com 12 nós.
- Várias instâncias do OpenLDAP instaladas nos próprios nós, configuradas com a replicação OpenLDAP. Por exemplo, em uma configuração do Edge com 13 nós.
A maneira de redefinir a senha do OpenLDAP depende da sua configuração.
Para uma única instância do OpenLDAP instalada no servidor de gerenciamento, faça o seguinte:
- No nó do Servidor de gerenciamento, execute o seguinte comando para criar a nova senha do OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o OLD_PASSWORD -n NEW_PASSWORD
- Execute o seguinte comando para armazenar a nova senha que será acessada pelo servidor de gerenciamento:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p NEW_PASSWORD
Esse comando reinicia o servidor de gerenciamento.
Em uma configuração de replicação do OpenLDAP com o OpenLDAP instalado nos nós do servidor de gerenciamento, siga as etapas acima nos dois nós para atualizar a senha.
Em uma configuração de replicação do OpenLDAP com o OpenLDAP em um nó que não seja o de gerenciamento, primeiro altere a senha nos dois nós do OpenLDAP e, depois, nos dois.
Redefinir senha do administrador do sistema
Para redefinir a senha do administrador do sistema, é necessário fazer isso em dois locais:
- Servidor de gerenciamento
- Interface
Para redefinir a senha de administrador do sistema:
- No nó da IU, pare a IU do Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- No servidor de gerenciamento, execute o seguinte comando para redefinir a senha:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
- Edite o arquivo de configuração silencioso usado para instalar a interface do Edge para definir as seguintes propriedades:
APIGEE_ADMINPW=NEW_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y SMTPMAILFROM="My Company <myco@company.com>"
É necessário incluir as propriedades do SMTP ao passar a nova senha, porque todas as propriedades da IU serão redefinidas.
- Use o utilitário
apigee-setup
para redefinir a senha na IU do Edge pelo arquivo de configuração:/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Somente se o TLS estiver ativado na IU) Reative o TLS na IU do Edge, conforme descrito em Como configurar o TLS para a IU de gerenciamento.
Em um ambiente de replicação OpenLDAP com vários servidores de gerenciamento, a redefinição da senha em um deles atualiza o outro automaticamente. No entanto, você precisa atualizar todos os nós da IU do Edge separadamente.
Redefinir a senha do usuário da organização
Para redefinir a senha de um usuário da organização, use o utilitário apigee-service
para invocar apigee-setup
:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
Exemplo:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p Foo12345 -a admin@myCo.com -P adminPword
Confira abaixo um exemplo de arquivo de configuração que pode ser usado com a opção "-f":
USER_NAME= user@myCo.com USER_PWD="Foo12345" APIGEE_ADMINPW=ADMIN_PASSWORD
Também é possível usar a API Update user para alterar a senha do usuário.
Regras de senha do SysAdmin e da organização
Use esta seção para aplicar um nível desejado de tamanho e força da senha aos usuários do gerenciamento de API. As configurações usam uma série de expressões regulares pré-configuradas (e numeradas exclusivamente) para verificar o conteúdo da senha (como letras maiúsculas, minúsculas, números e caracteres especiais). Grave essas configurações no arquivo
/opt/apigee/customer/application/management-server.properties
. Se esse arquivo não existir, crie-o.
Depois de editar management-server.properties
, reinicie o servidor de gerenciamento:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Em seguida, você pode definir classificações de nível de segurança da senha agrupando diferentes combinações de expressões regulares. Por exemplo, é possível determinar que uma senha com pelo menos uma letra maiúscula e uma minúscula tenha uma classificação de força "3", mas uma senha com pelo menos uma letra minúscula e um número tenha uma classificação "4" mais forte.
Propriedade | Descrição |
---|---|
conf_security_password.validation.minimum.password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum.rating.required=3 |
Use-as para determinar as características gerais das senhas válidas. A classificação mínima padrão do nível da senha, descrita mais adiante na tabela, é 3. A password.validation.default.rating=2 é menor que a classificação mínima exigida, o que significa que, se uma senha inserida estiver fora das regras configuradas, a senha será classificada como 2 e, portanto, inválida (abaixo da classificação mínima de 3). |
Veja a seguir expressões regulares que identificam características de senhas. Cada
é numerado. Por exemplo,
|
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1: todos os caracteres se repetem |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: pelo menos uma letra minúscula |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3: pelo menos uma letra maiúscula |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: pelo menos um dígito |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: pelo menos um caractere especial (não incluindo sublinhado _) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: pelo menos um sublinhado |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7: mais de uma letra minúscula |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8: mais de uma letra maiúscula |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9: mais de um dígito |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10: mais de um caractere especial (sem incluir sublinhado). |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11: mais de um sublinhado |
As regras a seguir determinam o nível da senha com base no conteúdo. Cada regra inclui uma ou mais expressões regulares da seção anterior e atribui uma força numérica a ela. A força numérica de uma senha é comparada ao número conf_security_password.validation.minimum.rating.required no topo do arquivo para determinar se uma senha é válida ou não. |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
Cada regra é numerada. Por exemplo,
Cada regra usa o seguinte formato (à direita do sinal de igual): regex-index-list,[AND|OR],rating regex-index-list é a lista de expressões regulares (por número da seção anterior), com um operador rating é a classificação de força numérica dada a cada regra. Por exemplo, a regra 5 significa que qualquer senha com pelo menos um caractere especial OU um sublinhado recebe uma classificação de força de 4. Com |
conf_security_rbac.password.validation.enabled=true |
Defina a validação de senha do controle de acesso baseado em função como falsa quando o Logon único (SSO) estiver ativado. O padrão é verdadeiro. |
Redefinindo senha do Cassandra
Por padrão, o Cassandra é enviado com a autenticação desativada. Se você ativar a autenticação, ela usará um usuário predefinido chamado "cassandra" com a senha "cassandra". É possível usar essa conta,
definir uma senha diferente para ela ou criar um novo usuário do Cassandra. Adicione, remova e modifique usuários usando as instruções CREATE/ALTER/DROP USER
do Cassandra.
Para saber como ativar a autenticação do Cassandra, consulte Ativar a autenticação do Cassandra.
Para redefinir a senha do Cassandra, faça o seguinte:
- Defina a senha em qualquer nó do Cassandra para que ela seja transmitida a todos os nós do Cassandra no anel
- Atualizar o servidor de gerenciamento, os processadores de mensagens, os roteadores, os servidores Qpid e os servidores Postgres em cada nó com a nova senha
Para mais informações, consulte http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html (em inglês).
Para redefinir a senha do Cassandra:
- Faça login em qualquer nó do Cassandra usando a ferramenta
cqlsh
e as credenciais padrão. Você só precisa alterar a senha em um nó do Cassandra, e ela será transmitida a todos os nós do Cassandra no anel:/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
Em que:
cassIP
é o endereço IP do nó do Cassandra.9042
é a porta do Cassandra.- O usuário padrão é
cassandra
. - A senha padrão é
cassandra
. Se você mudou a senha anteriormente, use a atual.
- Execute o seguinte comando como o prompt
cqlsh>
para atualizar a senha:ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
Se a nova senha tiver apenas um caractere de aspas, insira um caractere de aspas simples antes dela.
- Saia da ferramenta
cqlsh
:exit
- No nó do servidor de gerenciamento, execute o seguinte comando:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
Outra opção é passar um arquivo para o comando que contém o novo nome de usuário e senha:
apigee-service edge-management-server store_cassandra_credentials -f configFile
Em que configFile contém o seguinte:
CASS_USERNAME=CASS_USERNAME CASS_PASSWORD=CASS_PASSWROD
Esse comando reinicia automaticamente o servidor de gerenciamento.
- Repita a etapa 4 em:
- Todos os processadores de mensagens
- Todos os roteadores
- Todos os servidores Qpid (edge-qpid-server)
- Servidores Postgres (edge-postgres-server)
A senha do Cassandra foi alterada.
Redefinindo senha do PostgreSQL
Por padrão, o banco de dados PostgreSQL tem dois usuários definidos: "postgres" e "apigee". A senha padrão dos dois usuários é "postgres". Siga o procedimento abaixo para alterar a senha padrão.
Altere a senha de todos os nós mestres do Postgres. Se você tiver dois servidores Postgres configurados no modo mestre/de espera, precisará alterar a senha no nó mestre. Para saber mais, consulte Configurar a replicação Master-Standby para Postgres.
- No nó mestre Postgres, altere os diretórios para
/opt/apigee/apigee-postgresql/pgsql/bin
. - Defina a senha do usuário "postgres" do PostgreSQL:
- Faça login no banco de dados PostgreSQL usando o comando:
psql -h localhost -d apigee -U postgres
- Quando solicitado, insira a senha de usuário "postgres" como "postgres".
- No prompt de comando do PostgreSQL, digite o seguinte comando para alterar a senha padrão:
ALTER USER postgres WITH PASSWORD 'apigee1234';
- Saia do banco de dados PostgreSQL usando o comando:
\q
- Faça login no banco de dados PostgreSQL usando o comando:
- Defina a senha do usuário "apigee" do PostgreSQL:
- Faça login no banco de dados PostgreSQL usando o comando:
psql -h localhost -d apigee -U apigee
- Quando solicitado, digite a senha do usuário "apigee" como "postgres".
- No prompt de comando do PostgreSQL, digite o seguinte comando para alterar a senha padrão:
ALTER USER apigee WITH PASSWORD 'NEW_PASSWORD';
- Saia do banco de dados PostgreSQL usando o comando:
\q
- Faça login no banco de dados PostgreSQL usando o comando:
- Defina
APIGEE_HOME
:export APIGEE_HOME=/opt/apigee/edge-postgres-server
- Criptografe a nova senha:
sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
Esse comando retorna a senha criptografada conforme mostrado abaixo. A senha criptografada começa depois do caractere ":" e não inclui o ":".
Encrypted string:WheaR8U4OeMEM11erxA3Cw==
- Atualize o nó do servidor de gerenciamento com as novas senhas criptografadas para os usuários
"postgres" e "apigee".
- No servidor de gerenciamento, altere o diretório para
/opt/apigee/customer/application
. - Edite o arquivo
management-server.properties
para definir as propriedades a seguir. Se esse arquivo não existir, crie-o. - Verifique se o arquivo pertence ao usuário "apigee":
chown apigee:apigee management-server.properties
- No servidor de gerenciamento, altere o diretório para
- Atualize todos os nós dos servidores Postgres e Qpid Server com a nova senha criptografada.
- No nó do servidor Postgres ou Qpid Server, altere o diretório para
/opt/apigee/customer/application
. - Edite os arquivos a seguir. Se esses arquivos não existirem, crie-os:
postgres-server.properties
qpid-server.properties
- Adicione as seguintes propriedades aos arquivos:
- Verifique se os arquivos pertencem ao usuário "apigee":
chown apigee:apigee postgres-server.properties
chown apigee:apigee qpid-server.properties
- No nó do servidor Postgres ou Qpid Server, altere o diretório para
- Reinicie os componentes a seguir nesta ordem:
- Banco de dados PostgreSQL:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
- Servidor Qpid:
/opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
- Servidor Postgres:
/opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
- Servidor de gerenciamento:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Banco de dados PostgreSQL: