Edge para la nube privada v4.18.05
Puedes restablecer las contraseñas de OpenLDAP, el administrador del sistema de Apigee Edge, el usuario de la organización de Edge y las contraseñas de Cassandra después de que se complete la instalación.
Restablecer la contraseña de OpenLDAP
Según la configuración de Edge, se puede instalar OpenLDAP de la siguiente manera:
- Una única instancia de OpenLDAP instalada en el nodo del servidor de administración. Por ejemplo, en una configuración perimetral de 2, 5 o 9 nodos.
- Varias instancias de OpenLDAP instaladas en los nodos del servidor de administración, configuradas con la replicación de OpenLDAP. Por ejemplo, en una configuración de Edge de 12 nodos.
- Varias instancias de OpenLDAP instaladas en sus propios nodos, configuradas con la replicación de OpenLDAP. Por ejemplo, en una configuración de Edge de 13 nodos.
La forma de restablecer la contraseña de OpenLDAP depende de tu configuración.
Para una sola instancia de OpenLDAP instalado en el servidor de administración, realiza lo siguiente:
- En el nodo del servidor de administración, ejecuta el siguiente comando para crear la nueva contraseña de OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o OLD_PASSWORD -n NEW_PASSWORD
- Ejecuta el siguiente comando para almacenar la nueva contraseña de acceso del servidor de administración:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p NEW_PASSWORD
Este comando reinicia el servidor de administración.
En una configuración de replicación de OpenLDAP con OpenLDAP instalado en los nodos del servidor de administración, sigue los pasos anteriores en ambos nodos del servidor de administración para actualizar la contraseña.
En una configuración de replicación de OpenLDAP con OpenLDAP en un nodo que no sea el servidor de administración, asegúrate de cambiar primero la contraseña en ambos nodos de OpenLDAP y, luego, en ambos nodos del servidor de administración.
Restablecer la contraseña del administrador del sistema
Para restablecer la contraseña de administrador del sistema, debes restablecer la contraseña en dos lugares:
- Servidor de administración
- IU
Para restablecer la contraseña del administrador del sistema, haz lo siguiente:
- En el nodo de la IU, detén la IU de Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- En el servidor de administración, ejecuta el siguiente comando para restablecer la contraseña:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
- Edita el archivo de configuración silencioso que usaste para instalar la IU de Edge a fin de establecer las siguientes propiedades:
APIGEE_ADMINPW=NEW_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y SMTPMAILFROM="My Company <myco@company.com>"
Ten en cuenta que debes incluir las propiedades de SMTP cuando pasas la contraseña nueva porque se restablecen todas las propiedades de la IU.
- Usa la utilidad
apigee-setup
para restablecer la contraseña en la IU de Edge desde el archivo de configuración:/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Solo si TLS está habilitado en la IU) Vuelve a habilitar TLS en la IU de Edge como se describe en Configura TLS para la IU de administración.
En un entorno de replicación de OpenLDAP con varios servidores de administración, cuando se restablece la contraseña en un servidor de administración, se actualiza el otro de forma automática. Sin embargo, debes actualizar todos los nodos de la IU de Edge por separado.
Restablecer la contraseña de usuario de la organización
Si deseas restablecer la contraseña de un usuario de la organización, usa la utilidad apigee-service
para invocar a apigee-setup
:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
Por ejemplo:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p Foo12345 -a admin@myCo.com -P adminPword
A continuación, se muestra un ejemplo de archivo de configuración que puedes usar con la opción “-f”:
USER_NAME= user@myCo.com USER_PWD="Foo12345" APIGEE_ADMINPW=ADMIN_PASSWORD
También puedes usar la API de Update user para cambiar la contraseña del usuario.
Reglas de contraseñas de los usuarios de SysAdmin y de la organización
Usa esta sección para aplicar un nivel deseado de longitud y seguridad de contraseñas para los usuarios de administración de API. La configuración usa una serie de expresiones regulares preconfiguradas (y numeradas de manera única) para verificar el contenido de las contraseñas (como mayúsculas, minúsculas, números y caracteres especiales). Escribe esta configuración en el archivo /opt/apigee/customer/application/management-server.properties
. Si ese archivo no existe, créalo.
Después de editar management-server.properties
, reinicia el servidor de administración:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Luego, puedes establecer las calificaciones de seguridad de las contraseñas agrupando diferentes combinaciones de expresiones regulares. Por ejemplo, puedes determinar que una contraseña que tiene al menos una letra minúscula y una minúscula obtiene una calificación de seguridad de "3", pero que una contraseña con al menos una letra minúscula y un número obtiene una calificación más fuerte de "4".
Propiedad | Descripción |
---|---|
conf_security_password.validation.minimum.password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum.rating.required=3 |
Úsalas para determinar las características generales de las contraseñas válidas. La calificación mínima predeterminada para la seguridad de la contraseña (que se describe más adelante en la tabla) es 3. Ten en cuenta que password.Validate.default.rating=2 es inferior a la calificación mínima requerida, lo que significa que, si una contraseña ingresada no se incluye en las reglas que configuras, la contraseña tiene una calificación de 2 y, por lo tanto, no es válida (inferior a la calificación mínima de 3). |
A continuación, se incluyen expresiones regulares que identifican características de las contraseñas. Ten en cuenta que cada uno está numerado. Por ejemplo, |
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1: Todos los caracteres se repiten. |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: Debe incluir al menos una letra minúscula. |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3: Al menos una letra mayúscula |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: Al menos un dígito |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: Al menos un carácter especial (sin incluir el guion bajo _) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: Un guion bajo como mínimo |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7: Más de una letra minúscula |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8: Más de una letra mayúscula |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9: Más de un dígito |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10: Más de un carácter especial (sin incluir guion bajo). |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11: Más de un guion bajo |
Las siguientes reglas determinan la seguridad de las contraseñas en función de su contenido. Cada regla incluye una o más expresiones regulares de la sección anterior y le asigna una fuerza numérica. La seguridad numérica de una contraseña se compara con el número conf_security_password.validation.minimum.rating.required en la parte superior de este archivo para determinar si una contraseña es válida o no. |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
Cada regla está numerada. Por ejemplo, Cada regla utiliza el siguiente formato (a la derecha del signo igual): regex-index-list,[AND|OR],rating regex-index-list es la lista de expresiones regulares (por número de la sección anterior), junto con un operador rating es la calificación de intensidad numérica que se le otorga a cada regla. Por ejemplo, la regla 5 significa que cualquier contraseña con al menos un carácter especial O un guion bajo obtiene una calificación de seguridad de 4. Con |
conf_security_rbac.password.validation.enabled=true |
Establece la validación de contraseñas de control de acceso basado en funciones como falsa cuando el inicio de sesión único (SSO) está habilitado. El valor predeterminado es verdadero. |
Restableciendo la contraseña de Cassandra
De forma predeterminada, Cassandra realiza envíos con la autenticación inhabilitada. Si habilitas la autenticación, usa un usuario predefinido llamado “Cassandra” con la contraseña “Cassandra”. Puedes usar la cuenta, establecer una contraseña diferente o crear un usuario de Cassandra nuevo. Agrega, quita y modifica usuarios mediante las instrucciones CREATE/ALTER/DROP USER
de Cassandra.
Si quieres obtener información para habilitar la autenticación de Cassandra, consulta Habilita la autenticación de Cassandra.
Para restablecer la contraseña de Cassandra, debes hacer lo siguiente:
- Establece la contraseña en cualquier nodo de Cassandra y se transmitirá a todos los nodos de Cassandra en el anillo
- Actualiza el servidor de administración, los procesadores de mensajes, los routers, los servidores Qpid y los servidores Postgres en cada nodo con la contraseña nueva
Para obtener más información, consulta http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.
Para restablecer la contraseña de Cassandra, haz lo siguiente:
- Accede a cualquier nodo de Cassandra con la herramienta de
cqlsh
y las credenciales predeterminadas. Solo tienes que cambiar la contraseña en un nodo de Cassandra y se transmitirá a todos los nodos de Cassandra en el anillo:/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
Aquí:
cassIP
es la dirección IP del nodo de Cassandra.9042
es el puerto de Cassandra.- El usuario predeterminado es
cassandra
. - La contraseña predeterminada es
cassandra
. Si cambiaste la contraseña anteriormente, usa la contraseña actual.
- Ejecuta el siguiente comando como el mensaje de
cqlsh>
para actualizar la contraseña:ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
Si la contraseña nueva contiene un carácter de comilla simple, escápala precediendo un carácter de comilla simple.
- Sal de la herramienta de
cqlsh
:exit
- En el nodo del servidor de administración, ejecuta el siguiente comando:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
De manera opcional, puedes pasar un archivo al comando que contenga el nombre de usuario y la contraseña nuevos:
apigee-service edge-management-server store_cassandra_credentials -f configFile
En el ejemplo anterior, configFile contiene lo siguiente:
CASS_USERNAME=CASS_USERNAME CASS_PASSWORD=CASS_PASSWROD
.Este comando reinicia automáticamente el servidor de administración.
- Repite el paso 4 en los siguientes casos:
- Todos los procesadores de mensajes
- Todos los routers
- Todos los servidores Qpid (edge-qpid-server)
- Servidores de Postgres (edge-postgres-server)
Ya se cambió la contraseña de Cassandra.
Restableciendo contraseña de PostgreSQL
De forma predeterminada, la base de datos de PostgreSQL tiene dos usuarios definidos: “postgres” y “apigee”. Ambos usuarios tienen la contraseña predeterminada “postgres”. Usa el siguiente procedimiento para cambiar la contraseña predeterminada.
Cambia la contraseña en todos los nodos principales de Postgres. Si tienes dos servidores Postgres configurados en modo principal/en espera, solo debes cambiar la contraseña del nodo principal. Consulta Configura la replicación en espera principal para Postgres a fin de obtener más información.
- En el nodo de la instancia principal de Postgres, cambia los directorios a
/opt/apigee/apigee-postgresql/pgsql/bin
. - Configura la contraseña de usuario "postgres" de PostgreSQL:
- Accede a la base de datos de PostgreSQL con el comando:
psql -h localhost -d apigee -U postgres
. - Cuando se te solicite, ingresa la contraseña de usuario "postgres" como "postgres".
- En el símbolo del sistema de PostgreSQL, ingresa el siguiente comando para cambiar la contraseña
predeterminada:
ALTER USER postgres WITH PASSWORD 'apigee1234';
- Sal de la base de datos de PostgreSQL con el comando:
\q
.
- Accede a la base de datos de PostgreSQL con el comando:
- Configura la contraseña de usuario “apigee” de PostgreSQL:
- Accede a la base de datos de PostgreSQL con el comando:
psql -h localhost -d apigee -U apigee
. - Cuando se te solicite, ingresa la contraseña de usuario de “apigee” como “postgres”.
- En el símbolo del sistema de PostgreSQL, ingresa el siguiente comando para cambiar la contraseña
predeterminada:
ALTER USER apigee WITH PASSWORD 'NEW_PASSWORD';
- Sal de la base de datos de PostgreSQL con el comando:
\q
.
- Accede a la base de datos de PostgreSQL con el comando:
- Establecer
APIGEE_HOME
:export APIGEE_HOME=/opt/apigee/edge-postgres-server
- Encriptar la nueva contraseña:
sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
Este comando muestra la contraseña encriptada, como se indica a continuación. La contraseña encriptada comienza después del carácter ":" y no incluye el ":".
Encrypted string:WheaR8U4OeMEM11erxA3Cw==
- Actualiza el nodo del servidor de administración con las nuevas contraseñas encriptadas para los usuarios de “postgres” y “apigee”.
- En el servidor de administración, cambia el directorio a
/opt/apigee/customer/application
. - Edita el archivo
management-server.properties
para establecer las siguientes propiedades. Si este archivo no existe, créalo. - Asegúrate de que el archivo sea propiedad del usuario “apigee”:
chown apigee:apigee management-server.properties
- En el servidor de administración, cambia el directorio a
- Actualiza todos los nodos de Postgres Server y Qpid Server con la nueva contraseña encriptada.
- En el nodo del servidor Postgres o Qpid Server, cambia el directorio a
/opt/apigee/customer/application
. - Edita los siguientes archivos. Si estos archivos no existen, créalos:
postgres-server.properties
qpid-server.properties
- Agrega las siguientes propiedades a los archivos:
- Asegúrate de que los archivos sean propiedad del usuario “apigee”:
chown apigee:apigee postgres-server.properties
chown apigee:apigee qpid-server.properties
- En el nodo del servidor Postgres o Qpid Server, cambia el directorio a
- Reinicia los siguientes componentes en este orden:
- Base de datos de PostgreSQL:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
- Servidor Qpid:
/opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
- Servidor Postgres:
/opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
- Servidor de administración:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Base de datos de PostgreSQL: