Edge for Private Cloud v4.18.05
OpenLDAP、Apigee Edge システム管理者、Edge 組織ユーザー、 インストール完了後の Cassandra パスワード。
OpenLDAP のパスワードのリセット
Edge の構成に応じて、OpenLDAP は次のようにインストールできます。
- Management Server ノードに、OpenLDAP のインスタンスを 1 つインストールする。たとえば、 2 ノード、5 ノード、または 9 ノードの Edge 構成。
- OpenLDAP レプリケーションを構成して、複数の Management Server に複数の OpenLDAP インスタンスをインストールする。たとえば、12 ノードの Edge 構成の場合。
- OpenLDAP レプリケーションを構成して、複数の OpenLDAP インスタンスをそれぞれ専用のノードにインストールする。たとえば、13 ノードの Edge 構成の場合。
OpenLDAP のパスワードをリセットする方法は、構成によって異なります。
Management Server に OpenLDAP のインスタンスを 1 つインストールした場合は、以下の手順です。
- Management Server ノードで、次のコマンドを実行して新しい OpenLDAP パスワードを作成します。
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o OLD_PASSWORD -n NEW_PASSWORD
- 次のコマンドを実行して、Management Server がアクセスするための新しいパスワードを保存します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p NEW_PASSWORD
このコマンドを実行すると、Management Server が再起動されます。
Management Server ノードにインストールした OpenLDAP で OpenLDAP レプリケーションを構成する場合は、上記の手順を両方の Management Server ノードで行ってパスワードを更新します。
Management Server 以外のノードにある OpenLDAP で OpenLDAP レプリケーションを構成する場合は、まず両方の OpenLDAP ノードでパスワードを変更してから、次に両方の Management Server ノードでパスワードを変更します。
システム管理者パスワードのリセット
システム管理者パスワードをリセットするには、以下の 2 か所でパスワードをリセットする必要があります。
- 管理サーバー
- UI
システム管理者パスワードをリセットするには:
- UI ノードで Edge UI を停止します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- Management Server で次のコマンドを実行し、パスワードをリセットします。
/opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
- Edge UI のインストールに使用したサイレント構成ファイルを編集し、次のように設定します。
プロパティ:
APIGEE_ADMINPW=NEW_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y SMTPMAILFROM="My Company <myco@company.com>"
UI のすべてのプロパティがリセットされるため、新しいパスワードを渡すときに SMTP のプロパティも渡す必要があります。
apigee-setupユーティリティを使用して、Edge UI のパスワードを config ファイル:/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (UI で TLS を有効にしている場合のみ)管理 UI の TLS の構成の説明に従って、Edge UI で TLS を再度有効にします。
複数の Management Server がある OpenLDAP レプリケーション環境では、 一方の Management Server でパスワードを再設定すると、もう一方の Management Server でもパスワードが更新されます。 自動的に適用されます。ただし、別途すべての Edge UI ノードを更新する必要があります。
組織ユーザーのパスワードのリセット
組織ユーザーのパスワードを再設定するには、apigee-service ユーティリティを使用して、
apigee-setup を呼び出します。
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
例:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p Foo12345 -a admin@myCo.com -P adminPword
次は、「-f」オプションで使用できる構成ファイルの例です。
USER_NAME= user@myCo.com USER_PWD="Foo12345" APIGEE_ADMINPW=ADMIN_PASSWORD
また、Update user API を使用して、 変更します。
SysAdmin および組織ユーザーのパスワード ルール
このセクションを使用して、API に必要なパスワードの長さと強度レベルを適用します
管理できます。この設定では、パスワードの内容(大文字、小文字、数字、特殊文字など)をチェックするために、事前構成された一連の(一意な番号が付いた)正規表現を使います。これらの設定を /opt/apigee/customer/application/management-server.properties に書き込む
表示されます。このファイルが存在しない場合は作成します。
management-server.properties を編集したら、Management Server を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
次に、さまざまな正規表現の組み合わせをグループ化して、パスワード強度のランクを設定できます。たとえば、大文字と小文字がそれぞれ 1 つ以上のパスワードは強度ランク「3」、小文字が 1 つ以上で、数字が 1 つ以上のパスワードは強度ランク「4」と決めることができます。
| プロパティ | 説明 |
|---|---|
conf_security_password.validation.minimum.password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum.rating.required=3 |
有効なパスワードの全般的な特性を決めます。デフォルト パスワードの安全度の最低評価(この表の後半で説明)は 3 です。 password.validation.default.rating=2 は、必要とされる最低ランクより低くなっています。これは、入力したパスワードが構成したルールに沿わない場合、パスワードのランクは 2 となり、無効となる(最低ランクの 3 未満)という意味です。 |
|
以下に、パスワードの特性を表す正規表現を示します。それぞれの正規表現に番号が付いていることに注意してください。たとえば、 |
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1: すべての文字が繰り返されている |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: 小文字が 1 つ以上 |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3: 大文字が 1 文字以上必要です |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: 数字が 1 つ以上 |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: 特殊文字が 1 つ以上(アンダースコア _ は含まず) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: アンダースコアが 1 つ以上 |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$
|
7: 小文字が 2 つ以上 |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$
|
8: 大文字が複数あります |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$
|
9: 数字が 1 桁以上 |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$
|
10: 複数の特殊文字(アンダースコアを除く) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$
|
11: アンダースコアが 2 つ以上 |
|
次のルールにより、パスワードの内容に基づいてパスワードの安全度が決定されます。 各ルールには、前のセクションの正規表現が 1 つ以上含まれ、強度の値が割り当てられます。パスワード強度の値が、このファイルの先頭の conf_security_password.validation.minimum.rating.required の値と比較され、パスワードが有効かどうかが決定されます。 |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
各ルールには番号が付いています。たとえば、 各ルールでは次の形式を使用します(等号の右側)。 regex-index-list,[AND|OR],rating regex-index-list は正規表現(前のセクションの番号で指定)を示します。 rating は、各ルールに与えられる数値の強度評価です。 たとえば、ルール 5 は、1 つ以上の特殊文字または 1 つ以上の
強度評価は 4 になります。 |
conf_security_rbac.password.validation.enabled=true |
シングル サインオン(SSO)時にロールベース アクセス制御のパスワード検証を false に設定する 有効になります。デフォルトは true です。 |
Cassandra のパスワードのリセット
Cassandra はデフォルトで認証が無効になっています。認証を有効にすると、あらかじめ定義されたユーザー名「cassandra」とパスワード「cassandra」が使用されます。このアカウントを使用することも、このアカウントに異なるパスワードを設定することも、あるいは Cassandra の新しいユーザーを作成することもできます。追加、削除、
Cassandra の CREATE/ALTER/DROP USER ステートメントを使用してユーザーを変更します。
Cassandra 認証を有効にする方法については、Cassandra 認証を有効にするをご覧ください。
Cassandra のパスワード リセットには、以下の操作が必要です。
- いずれか 1 つの Cassandra ノードでパスワードを設定します。リング内のすべての Cassandra ノードにブロードキャストされます。
- 各ノードの Management Server、Message Processor、Router、Qpid サーバー、Postgres サーバーで新しいパスワードに更新します。
詳細については、http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html をご覧ください。
以下の手順で Cassandra のパスワードをリセットします。
cqlshツールとデフォルトの認証情報を使用していずれかの Cassandra にログインします。パスワードの変更は 1 つの Cassandra ノードだけで行います。 リング内のすべての Cassandra ノードにブロードキャストします。/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
ここで
cassIPは、Cassandra ノードの IP アドレスです。9042は Cassandra のポートです。- デフォルトのユーザー名は
cassandraです。 - デフォルトのパスワードは
cassandraです。以前にパスワードを変更した場合は、現在のパスワードを使用してください。
cqlsh>プロンプトとして次のコマンドを実行して、パスワードを更新します。ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
新しいパスワードが一重引用符を含む場合、その前に一重引用符を加えてエスケープします。
cqlshツールを終了します。exit
- Management Server ノードで、次のコマンドを実行します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
必要に応じて、次のように新しいユーザー名とパスワードを含むファイルをコマンドに渡すこともできます。
apigee-service edge-management-server store_cassandra_credentials -f configFile
ここで、configFile には次のものが含まれます。
CASS_USERNAME=CASS_USERNAME CASS_PASSWORD=CASS_PASSWROD
このコマンドを実行すると、Management Server が自動的に再起動されます。
- 以下について、ステップ 4 を繰り返します。
- すべての Message Processor
- すべてのルーター
- すべての Qpid サーバー(edge-qpid-server)
- Postgres サーバー(edge-postgres-server)
これで、Cassandra のパスワードが変更されました。
PostgreSQL パスワードのリセット
PostgreSQL データベースには、デフォルトで「postgres」と「apigee」の 2 つのユーザーが定義されています。どちらのユーザーもデフォルトのパスワードは「postgres」です。次の手順で設定を変更します。 表示されます。
すべての Postgres マスターノードのパスワードを変更します。マスター / スタンバイ モードで構成した 2 つの Postgres サーバーがある場合、パスワードを変更する必要があるのは、マスターノードだけです。詳しくは、 マスター / スタンバイ レプリケーションを Postgres をご覧ください。
- マスター Postgres ノードで、ディレクトリを
/opt/apigee/apigee-postgresql/pgsql/bin。 - PostgreSQL ユーザー「postgres」のパスワードを設定します。
- 次のコマンドを使用して PostgreSQL データベースにログインします。
psql -h localhost -d apigee -U postgres
- ユーザー「postgres」のパスワードが要求されるので、「postgres」と入力します。
- PostgreSQL のコマンド プロンプトで次のコマンドを入力し、デフォルトのパスワードを変更します。
ALTER USER postgres WITH PASSWORD 'apigee1234';
- 次のコマンドを使用して PostgreSQL データベースを終了します。
\q
- 次のコマンドを使用して PostgreSQL データベースにログインします。
- PostgreSQL のユーザー「apigee」のパスワードを設定します。
- 次のコマンドを使用して、PostgreSQL データベースにログインします。
psql -h localhost -d apigee -U apigee
- プロンプトが表示されたら、「apigee」と入力します。ユーザー パスワードとして「postgres」と入力します。
- PostgreSQL のコマンド プロンプトで次のコマンドを入力し、デフォルトのパスワードを変更します。
ALTER USER apigee WITH PASSWORD 'NEW_PASSWORD';
- 次のコマンドを使用して PostgreSQL データベースを終了します。
\q
- 次のコマンドを使用して、PostgreSQL データベースにログインします。
APIGEE_HOMEを設定します。export APIGEE_HOME=/opt/apigee/edge-postgres-server
- 新しいパスワードを暗号化します。
sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
このコマンドは、次のように暗号化されたパスワードを返します。暗号化されたパスワードが 「:」の後「:」は含みません。
Encrypted string:WheaR8U4OeMEM11erxA3Cw==
- Management Server ノードで、ユーザー「postgres」と「apigee」のパスワードを新しい暗号化されたパスワードに更新します。
- Management Server で、ディレクトリを
/opt/apigee/customer/application。 management-server.propertiesファイルを編集して、次のプロパティを設定します。 このファイルが存在しない場合は作成します。- ファイルの所有者が「apigee」ユーザーであることを確認します。
chown apigee:apigee management-server.properties
- Management Server で、ディレクトリを
- すべての Postgres Server ノードと Qpid Server ノードで、新しい暗号化されたパスワードに更新します。
- Postgres Server または Qpid Server ノードで、次のディレクトリに移動します。
/opt/apigee/customer/application。 - 以下のファイルを編集します。これらのファイルが存在しない場合は作成します。
postgres-server.propertiesqpid-server.properties
- 次のプロパティをファイルに追加します。
- ファイルの所有者を「apigee」ユーザーに設定します。
chown apigee:apigee postgres-server.properties
chown apigee:apigee qpid-server.properties
- Postgres Server または Qpid Server ノードで、次のディレクトリに移動します。
- 次のコンポーネントをこの順序で再起動します。
<ph type="x-smartling-placeholder">
- </ph>
- PostgreSQL データベース:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
- Qpid Server:
/opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
- Postgres Server:
/opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
- Management Server:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- PostgreSQL データベース: