Edge for Private Cloud w wersji 4.18.05
Po zakończeniu instalacji możesz zresetować hasła OpenLDAP, Apigee Edge, użytkownika organizacji Edge i Cassandra.
Zresetuj hasło OpenLDAP
W zależności od konfiguracji Edge możesz zainstalować OpenLDAP w następujący sposób:
- Pojedyncza instancja OpenLDAP zainstalowana w węźle serwera zarządzania. na przykład w konfiguracji brzegowej z 2 węzłami, 5 węzłami lub 9 węzłami.
- Zainstalowano wiele instancji OpenLDAP w węzłach serwera zarządzania skonfigurowanych z replikacją OpenLDAP. na przykład w konfiguracji Edge z 12 węzłami.
- Wiele instancji OpenLDAP zainstalowanych w własnych węzłach skonfigurowanych z replikacją OpenLDAP. na przykład w konfiguracji Edge z 13 węzłami.
Sposób resetowania hasła OpenLDAP zależy od konfiguracji.
W przypadku pojedynczej instancji OpenLDAP zainstalowanej na serwerze zarządzania wykonaj te czynności:
- W węźle serwera zarządzania uruchom następujące polecenie, aby utworzyć nowe hasło OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o OLD_PASSWORD -n NEW_PASSWORD
- Uruchom to polecenie, aby zapisać nowe hasło na potrzeby serwera zarządzania:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p NEW_PASSWORD
To polecenie uruchamia ponownie serwer zarządzania.
W konfiguracji replikacji OpenLDAP z zainstalowanym OpenLDAP w węzłach serwera zarządzania wykonaj opisane powyżej czynności w obu węzłach serwera zarządzania, aby zaktualizować hasło.
W konfiguracji replikacji OpenLDAP z OpenLDAP w węźle innym niż serwer zarządzania pamiętaj, aby najpierw zmienić hasło w obu węzłach OpenLDAP, a następnie w obu węzłach serwera zarządzania.
Zresetuj hasło administratora systemu
Zresetowanie hasła administratora systemu wymaga zresetowania go w dwóch miejscach:
- Serwer zarządzania
- Interfejs użytkownika
Aby zresetować hasło administratora systemu:
- W węźle UI zatrzymaj interfejs Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- Na serwerze zarządzania uruchom następujące polecenie, aby zresetować hasło:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
- Edytuj cichy plik konfiguracji użyty do zainstalowania interfejsu użytkownika Edge, aby ustawić te właściwości:
APIGEE_ADMINPW=NEW_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y SMTPMAILFROM="My Company <myco@company.com>"
Pamiętaj, że podczas przekazywania nowego hasła musisz uwzględnić właściwości SMTP, ponieważ wszystkie właściwości w interfejsie użytkownika są resetowane.
- Użyj narzędzia
apigee-setup
, aby zresetować hasło w interfejsie użytkownika Edge z poziomu pliku konfiguracji:/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Tylko wtedy, gdy protokół TLS jest włączony w interfejsie) Włącz ponownie protokół TLS w interfejsie użytkownika Edge zgodnie z opisem w sekcji Konfigurowanie protokołu TLS w interfejsie użytkownika zarządzania.
W środowisku replikacji OpenLDAP z wieloma serwerami zarządzania zresetowanie hasła na jednym serwerze zarządzania automatycznie aktualizuje drugi serwer zarządzania. Musisz jednak zaktualizować wszystkie węzły UI Edge oddzielnie.
Zresetuj hasło użytkownika organizacji
Aby zresetować hasło użytkownika organizacji, użyj narzędzia apigee-service
do wywołania apigee-setup
:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
Na przykład:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p Foo12345 -a admin@myCo.com -P adminPword
Poniżej znajduje się przykładowy plik konfiguracyjny, którego można użyć z opcją „-f”:
USER_NAME= user@myCo.com USER_PWD="Foo12345" APIGEE_ADMINPW=ADMIN_PASSWORD
Hasło użytkownika możesz też zmienić za pomocą interfejsu API Update user.
Reguły dotyczące haseł administratorów i użytkowników organizacji
W tej sekcji możesz określić wymagany poziom długości i siły hasła dla użytkowników zarządzających interfejsami API. Ustawienia korzystają z serii wstępnie skonfigurowanych (i niepowtarzalnych) wyrażeń regularnych do sprawdzania treści hasła (np. wielkich liter, małych liter, cyfr i znaków specjalnych). Zapisz te ustawienia w pliku /opt/apigee/customer/application/management-server.properties
. Jeśli taki plik nie istnieje, utwórz go.
Po zakończeniu edycji management-server.properties
ponownie uruchom serwer zarządzania:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Następnie możesz ustawić oceny siły haseł, grupując różne kombinacje wyrażeń regularnych. Możesz na przykład ustalić, że hasło z co najmniej 1 wielką literą i jedną małą literą otrzyma ocenę siły „3”, a hasło z co najmniej jedną małą literą i jedną cyfrą otrzyma silniejszą ocenę „4”.
Właściwość | Opis |
---|---|
conf_security_password.validation.minimum.password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum.rating.required=3 |
Za ich pomocą możesz określić ogólne cechy prawidłowych haseł. Domyślna minimalna ocena siły hasła (opisana w dalszej części tabeli) to 3. Zwróć uwagę, że wartość hasła has.validation.default.rating=2 jest niższa od minimalnej oceny. Oznacza to, że jeśli wpisane hasło nie będzie naruszać skonfigurowanych przez Ciebie reguł, otrzyma ono ocenę 2 i dlatego będzie nieprawidłowe (poniżej minimalnej oceny 3). |
Poniżej przedstawiono wyrażenia regularne określające cechy haseł. Zwróć uwagę, że każdy z nich jest ponumerowany. Na przykład |
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1: wszystkie znaki się powtarzają |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: co najmniej jedna mała litera |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3: co najmniej jedna wielka litera |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: co najmniej jedna cyfra |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: co najmniej jeden znak specjalny (bez podkreślenia _). |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: Co najmniej jedno podkreślenie |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7: Więcej niż jedna mała litera |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8: więcej niż jedna wielka litera |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9: więcej niż jedna cyfra |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10: więcej niż 1 znak specjalny (bez podkreślenia) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11: Więcej niż jedno podkreślenie |
Poniższe reguły określają siłę hasła na podstawie treści hasła. Każda reguła zawiera co najmniej jedno wyrażenie regularne z poprzedniej sekcji i przypisuje do niej siłę liczbową. Siła liczbowa hasła jest porównywana z wartością conf_security_password.validation.minimum.rating.required u góry tego pliku w celu określenia, czy hasło jest prawidłowe. |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
Każda reguła jest ponumerowana. Na przykład Każda reguła ma następujący format (na prawo od znaku równości): regex-index-list,[AND|OR],rating regex-index-list to lista wyrażeń regularnych (według liczb z poprzedniej sekcji) wraz z operatorem rating to wartość liczbowa przypisana do każdej reguły. Na przykład reguła 5 oznacza, że każde hasło zawierające co najmniej jeden znak specjalny LUB jeden podkreślenie otrzymuje ocenę siły 4. Jeśli u góry pliku znajduje się słowo |
conf_security_rbac.password.validation.enabled=true |
Ustaw weryfikację hasła kontroli dostępu opartej na rolach na fałsz, gdy włączone jest logowanie jednokrotne. Wartość domyślna to true (prawda). |
Resetuję hasło do aplikacji Cassandra
Domyślnie aplikacja Cassandra ma wyłączone uwierzytelnianie. Jeśli włączysz uwierzytelnianie, będzie używane wstępnie zdefiniowane konto użytkownika o nazwie „cassandra” z hasłem „cassandra”. Możesz użyć tego konta, ustawić do niego inne hasło lub utworzyć nowego użytkownika Cassandra. Użytkowników możesz dodawać, usuwać i modyfikować za pomocą instrukcji CREATE/ALTER/DROP USER
Cassandra.
Aby dowiedzieć się, jak włączyć uwierzytelnianie Cassandra, zobacz Włączanie uwierzytelniania Cassandra.
Aby zresetować hasło do Cassandra, musisz:
- Gdy ustawisz hasło w dowolnym węźle Cassandra, zostanie ono rozesłane do wszystkich węzłów Cassandra w pierścieniu
- Zaktualizuj serwer zarządzania, procesory wiadomości, routery, serwery Qpid i serwery Postgres w każdym węźle, podając nowe hasło
Więcej informacji znajdziesz na stronie http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.
Aby zresetować hasło do Cassandra:
- Zaloguj się w dowolnym węźle Cassandra za pomocą narzędzia
cqlsh
i domyślnych danych logowania. Hasło wystarczy zmienić tylko w 1 węźle Cassandra. Zostanie ono wysłane do wszystkich węzłów Cassandra w pierścieniu:/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
Gdzie:
cassIP
to adres IP węzła Cassandra.9042
to port Cassandra.- Domyślnym użytkownikiem jest
cassandra
. - Domyślne hasło to
cassandra
. Jeśli hasło zostało wcześniej zmienione, użyj obecnego.
- Aby zaktualizować hasło, uruchom to polecenie jako znak zachęty
cqlsh>
:ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
Jeśli nowe hasło zawiera pojedynczy znak cudzysłowu, zmień jego znaczenie, poprzedzając je pojedynczym znakiem cudzysłowu.
- Zamknij narzędzie
cqlsh
:exit
- W węźle serwera zarządzania uruchom to polecenie:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
Opcjonalnie możesz przekazać do polecenia plik zawierający nową nazwę użytkownika i hasło:
apigee-service edge-management-server store_cassandra_credentials -f configFile
Gdzie configFile zawiera te elementy:
CASS_USERNAME=CASS_USERNAME CASS_PASSWORD=CASS_PASSWROD
To polecenie powoduje automatyczne ponowne uruchomienie serwera zarządzania.
- Powtórz krok 4 z:
- Wszystkie procesory wiadomości
- Wszystkie routery
- Wszystkie serwery Qpid (edge-qpid-server)
- Serwery Postgres (edge-postgres-server)
Hasło do Cassandra zostało zmienione.
Resetuję hasło do PostgreSQL
Domyślnie w bazie danych PostgreSQL są zdefiniowane 2 użytkowników: „postgres” i „apigee”. Obaj użytkownicy mają ustawione domyślne hasło „postgres”. Aby zmienić hasło domyślne, wykonaj czynności opisane poniżej.
Zmień hasło we wszystkich węzłach głównych Postgres. Jeśli masz 2 serwery Postgres skonfigurowane w trybie mastera/gotowości, musisz zmienić tylko hasło w węźle nadrzędnym. Więcej informacji znajdziesz w artykule o konfigurowaniu replikacji głównej stanu gotowości dla Postgres.
- W węźle głównego Postgres zmień katalogi na
/opt/apigee/apigee-postgresql/pgsql/bin
. - Ustaw hasło użytkownika PostgreSQL „postgres”:
- Zaloguj się do bazy danych PostgreSQL za pomocą polecenia:
psql -h localhost -d apigee -U postgres
- Gdy pojawi się prośba, wpisz hasło użytkownika „postgres” jako „postgres”.
- W wierszu polecenia PostgreSQL wpisz to polecenie, aby zmienić domyślne hasło:
ALTER USER postgres WITH PASSWORD 'apigee1234';
- Zamknij bazę danych PostgreSQL przy użyciu polecenia:
\q
- Zaloguj się do bazy danych PostgreSQL za pomocą polecenia:
- Ustaw hasło użytkownika PostgreSQL „apigee”:
- Zaloguj się do bazy danych PostgreSQL za pomocą polecenia:
psql -h localhost -d apigee -U apigee
- Gdy pojawi się prośba, wpisz hasło użytkownika „apigee” jako „postgres”.
- W wierszu polecenia PostgreSQL wpisz to polecenie, aby zmienić domyślne hasło:
ALTER USER apigee WITH PASSWORD 'NEW_PASSWORD';
- Zamknij bazę danych PostgreSQL przy użyciu polecenia:
\q
- Zaloguj się do bazy danych PostgreSQL za pomocą polecenia:
- Ustaw
APIGEE_HOME
:export APIGEE_HOME=/opt/apigee/edge-postgres-server
- Zaszyfruj nowe hasło:
sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234
To polecenie zwraca zaszyfrowane hasło, jak pokazano poniżej. Zaszyfrowane hasło rozpoczyna się po znaku „:” i nie zawiera znaku „:”.
Encrypted string:WheaR8U4OeMEM11erxA3Cw==
- Zaktualizuj węzeł serwera zarządzania przy użyciu nowych zaszyfrowanych haseł dla użytkowników „postgres” i „apigee”.
- Na serwerze zarządzania zmień katalog na
/opt/apigee/customer/application
. - Edytuj plik
management-server.properties
, aby ustawić poniższe właściwości. Jeśli plik nie istnieje, utwórz go. - Sprawdź, czy plik należy do użytkownika „apigee”:
chown apigee:apigee management-server.properties
- Na serwerze zarządzania zmień katalog na
- Zaktualizuj wszystkie węzły serwera Postgres i Qpid Server o nowe zaszyfrowane hasło.
- W węźle Postgres Server lub Qpid Server zmień katalog na
/opt/apigee/customer/application
. - Edytuj te pliki. Jeśli te pliki nie istnieją, utwórz je:
postgres-server.properties
qpid-server.properties
- Dodaj do plików te właściwości:
- Sprawdź, czy pliki należą do użytkownika „apigee”:
chown apigee:apigee postgres-server.properties
chown apigee:apigee qpid-server.properties
- W węźle Postgres Server lub Qpid Server zmień katalog na
- Uruchom ponownie te komponenty w tej kolejności:
- Baza danych PostgreSQL:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
- Serwer Qpid:
/opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
- Serwer Postgres:
/opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
- Serwer zarządzania:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Baza danych PostgreSQL: