Сброс паролей Edge

Edge для частного облака v4.18.05

Вы можете сбросить пароли OpenLDAP, системного администратора Apigee Edge, пользователя организации Edge и Cassandra после завершения установки.

Сбросить пароль OpenLDAP

В зависимости от конфигурации Edge OpenLDAP можно установить следующим образом:

  • Один экземпляр OpenLDAP, установленный на узле Сервера управления. Например, в конфигурации Edge с 2, 5 или 9 узлами.
  • Несколько экземпляров OpenLDAP, установленных на узлах Management Server, настроенных с использованием репликации OpenLDAP. Например, в конфигурации Edge с 12 узлами.
  • Несколько экземпляров OpenLDAP, установленных на отдельных узлах, настроенных с использованием репликации OpenLDAP. Например, в конфигурации Edge с 13 узлами.

Способ сброса пароля OpenLDAP зависит от вашей конфигурации.

Для одного экземпляра OpenLDAP, установленного на Сервере управления, выполните следующие действия:

  1. На узле Сервер управления выполните следующую команду, чтобы создать новый пароль OpenLDAP:
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap change-ldap-password -o OLD_PASSWORD -n NEW_PASSWORD
  2. Выполните следующую команду, чтобы сохранить новый пароль для доступа к серверу управления:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p NEW_PASSWORD

    Эта команда перезапускает Сервер управления.

В настройке репликации OpenLDAP, когда OpenLDAP установлен на узлах сервера управления , выполните указанные выше действия на обоих узлах сервера управления, чтобы обновить пароль.

При настройке репликации OpenLDAP, когда OpenLDAP находится на узле, отличном от Сервера управления , убедитесь, что вы сначала изменили пароль на обоих узлах OpenLDAP, а затем на обоих узлах Сервера управления.

Сбросить пароль системного администратора

Для сброса пароля системного администратора необходимо сбросить пароль в двух местах:

  • Сервер управления
  • пользовательский интерфейс

Чтобы сбросить пароль системного администратора:

  1. На узле пользовательского интерфейса остановите пользовательский интерфейс Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. На сервере управления выполните следующую команду, чтобы сбросить пароль:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server change_sysadmin_password -o currentPW -n newPW
  3. Отредактируйте автоматический файл конфигурации, который вы использовали для установки пользовательского интерфейса Edge, чтобы установить следующие свойства:
    APIGEE_ADMINPW=NEW_PASSWORD
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

    Обратите внимание, что вам необходимо включить свойства SMTP при передаче нового пароля, поскольку все свойства пользовательского интерфейса сбрасываются.

  4. Используйте утилиту apigee-setup для сброса пароля в пользовательском интерфейсе Edge из файла конфигурации:
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Только если TLS включен в пользовательском интерфейсе) Повторно включите TLS в пользовательском интерфейсе Edge, как описано в разделе Настройка TLS для пользовательского интерфейса управления .

В среде репликации OpenLDAP с несколькими серверами управления сброс пароля на одном сервере управления автоматически обновляет другой сервер управления. Однако вам придется обновить все узлы Edge UI отдельно.

Сбросить пароль пользователя организации

Чтобы сбросить пароль для пользователя организации, используйте утилиту apigee-service для вызова apigee-setup :

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
  [-h]
  [-u USER_EMAIL]
  [-p USER_PWD]
  [-a ADMIN_EMAIL]
  [-P APIGEE_ADMINPW]
  [-f configFile]

Например:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password -u user@myCo.com -p Foo12345 -a admin@myCo.com -P adminPword

Ниже показан пример файла конфигурации, который можно использовать с опцией «-f»:

USER_NAME= user@myCo.com
USER_PWD="Foo12345"
APIGEE_ADMINPW=ADMIN_PASSWORD

Вы также можете использовать API обновления пользователя , чтобы изменить пароль пользователя.

Правила паролей пользователей системного администратора и организации

Используйте этот раздел, чтобы обеспечить желаемый уровень длины и надежности пароля для пользователей управления API. В настройках используется ряд предварительно настроенных (и уникально пронумерованных) регулярных выражений для проверки содержимого пароля (например, прописные и строчные буквы, цифры и специальные символы). Запишите эти настройки в файл /opt/apigee/customer/application/management-server.properties . Если этот файл не существует, создайте его.

После редактирования management-server.properties перезапустите сервер управления:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Затем вы можете установить рейтинг надежности пароля, группируя различные комбинации регулярных выражений. Например, вы можете определить, что пароль, содержащий хотя бы одну заглавную и одну строчную букву, получает рейтинг надежности «3», а пароль, содержащий хотя бы одну строчную букву и одну цифру, получает более высокий рейтинг «4».

Свойство Описание
conf_security_password.validation.minimum.password.length=8
conf_security_password.validation.default.rating=2
conf_security_password.validation.minimum.rating.required=3

Используйте их для определения общих характеристик действительных паролей. Минимальный рейтинг надежности пароля по умолчанию (описанный ниже в таблице) равен 3.

Обратите внимание, что пароль.validation.default.rating=2 ниже требуемого минимального рейтинга. Это означает, что если введенный пароль выходит за рамки настроенных вами правил, паролю присваивается рейтинг 2 и, следовательно, он недействителен (ниже минимального рейтинга). из 3).

Ниже приведены регулярные выражения, определяющие характеристики пароля. Обратите внимание, что каждый из них пронумерован. Например, password.validation.regex. 5 =... — это номер выражения 5. Вы будете использовать эти числа в следующем разделе файла для установки различных комбинаций, определяющих общую надежность пароля.

conf_security_password.validation.regex.1=^(.)\\1+$

1: Все символы повторяются.

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2: хотя бы одна строчная буква

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3: хотя бы одна заглавная буква.

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4: хотя бы одна цифра

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5: хотя бы один специальный символ (не включая подчеркивание _).

conf_security_password.validation.regex.6=^.*[_]+.*$

6: хотя бы одно подчеркивание

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7: Более одной строчной буквы

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8: более одной заглавной буквы

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9: более одной цифры

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10: более одного специального символа (не включая подчеркивание).

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11: более одного подчеркивания

Следующие правила определяют надежность пароля на основе его содержимого. Каждое правило включает одно или несколько регулярных выражений из предыдущего раздела и присваивает ему числовой уровень. Числовая надежность пароля сравнивается с числом conf_security_password.validation.minimum.rating.required в верхней части этого файла, чтобы определить, действителен ли пароль.

conf_security_password.validation.rule.1=1,AND,0
conf_security_password.validation.rule.2=2,3,4,AND,4
conf_security_password.validation.rule.3=2,9,AND,4
conf_security_password.validation.rule.4=3,9,AND,4
conf_security_password.validation.rule.5=5,6,OR,4
conf_security_password.validation.rule.6=3,2,AND,3
conf_security_password.validation.rule.7=2,9,AND,3
conf_security_password.validation.rule.8=3,9,AND,3

Каждое правило пронумеровано. Например, password.validation.rule. 3 =... — правило номер 3.

Каждое правило использует следующий формат (справа от знака равенства):

regex-index-list,[AND|OR],rating

regex-index-list — это список регулярных выражений (по номерам из предыдущего раздела) вместе с оператором AND|OR (то есть учитывать все или любое из перечисленных выражений).

rating — это числовой рейтинг силы, присваиваемый каждому правилу.

Например, правило 5 означает, что любой пароль, содержащий хотя бы один специальный символ ИЛИ одно подчеркивание, получает рейтинг надежности 4. Если password.validation.minimum.rating.required=3 в верхней части файла, пароль с рейтингом 4 действителен.

conf_security_rbac.password.validation.enabled=true

Установите для проверки пароля управления доступом на основе ролей значение false, если включен единый вход (SSO). По умолчанию верно.

Сброс пароля Кассандры

По умолчанию Cassandra поставляется с отключенной аутентификацией. Если вы включите аутентификацию, будет использоваться предопределенный пользователь с именем «cassandra» и паролем «cassandra». Вы можете использовать эту учетную запись, установить для нее другой пароль или создать нового пользователя Cassandra. Добавляйте, удаляйте и изменяйте пользователей с помощью операторов Cassandra CREATE/ALTER/DROP USER .

Информацию о том, как включить аутентификацию Cassandra, см. в разделе Включение аутентификации Cassandra .

Чтобы сбросить пароль Кассандры, необходимо:

  • Установите пароль на любом узле Cassandra, и он будет передан на все узлы Cassandra в кольце.
  • Обновите сервер управления, процессоры сообщений, маршрутизаторы, серверы Qpid и серверы Postgres на каждом узле, указав новый пароль.

Для получения дополнительной информации см. http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html .

Чтобы сбросить пароль Кассандры:

  1. Войдите в любой узел Cassandra, используя инструмент cqlsh и учетные данные по умолчанию. Вам нужно изменить пароль только на одном узле Cassandra, и он будет передан на все узлы Cassandra в кольце:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Где:

    • cassIP — IP-адрес узла Cassandra.
    • 9042 — порт Кассандра.
    • Пользователь по умолчанию — cassandra .
    • Пароль по умолчанию — cassandra . Если вы ранее меняли пароль, используйте текущий пароль.
  2. Запустите следующую команду в качестве приглашения cqlsh> чтобы обновить пароль:
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Если новый пароль содержит одинарную кавычку, экранируйте его, поставив перед ним одинарную кавычку.

  3. Выйдите из инструмента cqlsh :
    exit
  4. На узле Сервер управления выполните следующую команду:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    При желании вы можете передать команде файл, содержащий новое имя пользователя и пароль:

    apigee-service edge-management-server store_cassandra_credentials -f configFile

    Где configFile содержит следующее:

    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD

    Эта команда автоматически перезапускает Сервер управления.

  5. Повторите шаг 4 для:
    • Все процессоры сообщений
    • Все маршрутизаторы
    • Все серверы Qpid (edge-qpid-server)
    • Серверы Postgres (edge-postgres-server)

Пароль Кассандры теперь изменен.

Сброс пароля PostgreSQL

По умолчанию в базе данных PostgreSQL определены два пользователя: «postgres» и «apigee». Оба пользователя имеют пароль по умолчанию «postgres». Используйте следующую процедуру, чтобы изменить пароль по умолчанию.

Измените пароль на всех главных узлах Postgres. Если у вас есть два сервера Postgres, настроенные в режиме главный/резервный, вам нужно изменить пароль только на главном узле. Дополнительную информацию см. в разделе Настройка репликации Master-Standby для Postgres .

  1. На узле Master Postgres измените каталог на /opt/apigee/apigee-postgresql/pgsql/bin .
  2. Установите пароль пользователя PostgreSQL «postgres»:
    1. Войдите в базу данных PostgreSQL с помощью команды:
      psql -h localhost -d apigee -U postgres
    2. При появлении запроса введите пароль пользователя «postgres» как «postgres».
    3. В командной строке PostgreSQL введите следующую команду, чтобы изменить пароль по умолчанию:
      ALTER USER postgres WITH PASSWORD 'apigee1234';
    4. Выйдите из базы данных PostgreSQL с помощью команды:
      \q
  3. Установите пароль пользователя PostgreSQL «apigee»:
    1. Войдите в базу данных PostgreSQL с помощью команды:
      psql -h localhost -d apigee -U apigee
    2. При появлении запроса введите пароль пользователя «apigee» как «postgres».
    3. В командной строке PostgreSQL введите следующую команду, чтобы изменить пароль по умолчанию:
      ALTER USER apigee WITH PASSWORD 'NEW_PASSWORD';
    4. Выйдите из базы данных PostgreSQL с помощью команды:
      \q
  4. Установите APIGEE_HOME :
    export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Зашифруйте новый пароль:
    sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh apigee1234

    Эта команда возвращает зашифрованный пароль, как показано ниже. Зашифрованный пароль начинается после символа «:» и не включает символ «:».

    Encrypted string:WheaR8U4OeMEM11erxA3Cw==
  6. Обновите узел сервера управления, добавив новые зашифрованные пароли для пользователей postgres и apigee.
    1. На сервере управления измените каталог на /opt/apigee/customer/application .
    2. Отредактируйте файл management-server.properties , чтобы установить следующие свойства. Если этот файл не существует, создайте его.
    3. Убедитесь, что файл принадлежит пользователю «apigee»:
      chown apigee:apigee management-server.properties
  7. Обновите все узлы Postgres Server и Qpid Server, используя новый зашифрованный пароль.
    1. На узле сервера Postgres или сервера Qpid измените каталог на /opt/apigee/customer/application .
    2. Отредактируйте следующие файлы. Если эти файлы не существуют, создайте их:
      • postgres-server.properties
      • qpid-server.properties
    3. Добавьте в файлы следующие свойства:
    4. Убедитесь, что файлы принадлежат пользователю «apigee»:
      chown apigee:apigee postgres-server.properties
      chown apigee:apigee qpid-server.properties
  8. Перезапустите следующие компоненты в следующем порядке:
    1. База данных PostgreSQL:
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Qpid-сервер:
      /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Постгрес-сервер:
      /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Сервер управления:
      /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart