Activer l'authentification Cassandra

Edge for Private Cloud v4.19.01

Par défaut, Cassandra est installé sans activer l'authentification. Cela signifie que tout le monde peut accéder à Cassandra. Vous pouvez activer l'authentification après l'installation d'Edge ou dans le cadre du processus d'installation.

Si vous décidez d'activer l'authentification sur Cassandra, les identifiants par défaut suivants sont utilisés:

  • nom d'utilisateur = "cassandra"
  • mot de passe = "cassandra"

Vous pouvez utiliser ce compte, définir un mot de passe différent pour celui-ci ou créer un utilisateur Cassandra. Ajoutez, supprimez et modifiez des utilisateurs à l'aide des instructions Cassandra CREATE/ALTER/DROP USER.

Pour en savoir plus, consultez la section Commandes d'interface système SQL Cassandra.

Activer l'authentification Cassandra lors de l'installation

Vous pouvez activer l'authentification Cassandra au moment de l'installation. Toutefois, bien que vous puissiez activer l'authentification lors de l'installation de Cassandra, vous ne pouvez pas modifier le nom d'utilisateur et le mot de passe par défaut. Vous devrez effectuer cette étape manuellement une fois l'installation de Cassandra terminée.

Pour activer l'authentification Cassandra au moment de l'installation, incluez la propriété CASS_AUTH dans le fichier de configuration pour tous les nœuds Cassandra:

CASS_AUTH=y # The default value is n.

Les composants Edge suivants accèdent à Cassandra:

  • Serveur de gestion
  • Processeurs de messages
  • Routeurs
  • Serveurs Qpid
  • Serveurs Postgres

Par conséquent, lorsque vous installez ces composants, vous devez définir les propriétés suivantes dans le fichier de configuration pour spécifier les identifiants Cassandra:

CASS_USERNAME=cassandra
CASS_PASSWORD=cassandra

Vous pouvez modifier les identifiants de Cassandra après l'avoir installé. Toutefois, si vous avez déjà installé le serveur de gestion, les processeurs de messages, les routeurs, les serveurs Qpid ou les serveurs Postgres, vous devez également mettre à jour ces composants pour qu'ils utilisent les nouveaux identifiants.

Pour modifier les identifiants de Cassandra après l'avoir installé, procédez comme suit:

  1. Connectez-vous à un nœud Cassandra à l'aide de l'outil cqlsh et des identifiants par défaut. Il vous suffit de modifier le mot de passe sur un seul nœud pour qu'il soit diffusé sur tous les nœuds Cassandra de l'anneau :
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Où :

    1. cassIP est l'adresse IP du nœud Cassandra.
    2. 9042 est le port Cassandra par défaut.
    3. L'utilisateur par défaut est cassandra.
    4. Le mot de passe par défaut est cassandra. Si vous avez déjà modifié le mot de passe, utilisez le mot de passe actuel.
  2. Exécutez la commande suivante lorsque l'invite cqlsh> s'affiche pour mettre à jour le mot de passe :
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  3. Quittez l'outil cqlsh :
    exit
  4. Si vous n'avez pas encore installé le serveur de gestion, les processeurs de messages, les routeurs, les serveurs Qpid ou les serveurs Postgres, définissez les propriétés suivantes dans le fichier de configuration, puis installez ces composants :
    CASS_USERNAME=cassandra
    CASS_PASSWORD=NEW_PASSWORD
  5. Si vous avez déjà installé le serveur de gestion, les processeurs de messages, les routeurs, les serveurs Qpid ou les serveurs Postgres, consultez la section Réinitialiser les mots de passe Edge pour connaître la procédure de mise à jour de ces composants afin qu'ils utilisent le nouveau mot de passe.

Activer l'authentification Cassandra après l'installation

Pour activer l'authentification:

  • Mettez à jour tous les composants Edge qui se connectent à Cassandra avec le nom d'utilisateur et le mot de passe Cassandra.
  • Activez l'authentification sur tous les nœuds Cassandra.
  • Définissez le nom d'utilisateur et le mot de passe Cassandra sur n'importe quel nœud. Il vous suffit de modifier les identifiants sur un seul nœud Cassandra pour qu'ils soient diffusés à tous les nœuds Cassandra de l'anneau.

Utilisez la procédure suivante pour mettre à jour tous les composants Edge qui communiquent avec Cassandra avec les nouveaux identifiants. Notez que vous devez effectuer cette étape avant de mettre à jour les identifiants Cassandra:

  1. Sur le nœud du serveur de gestion, exécutez la commande suivante :
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server
      store_cassandra_credentials -u cassandra_username -p cassandra_password

    Vous pouvez éventuellement transmettre à la commande un fichier contenant les nouveaux nom d'utilisateur et mot de passe:

    apigee-service edge-management-server store_cassandra_credentials  -f configFile

    configFile contient les éléments suivants:

    CASS_USERNAME=cassandra_username # Default is cassandra
    CASS_PASSWORD=cassandra_password # Default is cassandra

    Cette commande redémarre automatiquement le serveur de gestion.

  2. Pour chacun des services suivants, répétez l'étape 1 :
    • Tous les processeurs de messages
    • Tous les routeurs
    • Tous les serveurs Qpid (edge-qpid-server)
    • Serveurs Postgres (edge-postgres-server)

    Lorsque vous répétez l'étape 1 pour chaque service, remplacez edge-management-server dans la commande ci-dessus par le nom du service approprié. Par exemple, lorsque vous exécutez l'étape pour un service de routeur, utilisez la commande suivante:

    /opt/apigee/apigee-service/bin/apigee-service edge-router
      store_cassandra_credentials -u cassandra -p cassandra

Procédez comme suit pour activer l'authentification Cassandra et définir le nom d'utilisateur et le mot de passe:

  1. Connectez-vous au premier nœud Cassandra.
  2. Exécutez la commande suivante :
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra
      enable_cassandra_authentication -e y

    Cette commande active l'authentification et redémarre Cassandra.

  3. Répétez les étapes 1 et 2 sur tous les nœuds Cassandra.
  4. Connectez-vous à un nœud Cassandra à l'aide de l'outil cqlsh et des identifiants par défaut. Il vous suffit de modifier le mot de passe sur un seul nœud Cassandra pour qu'il soit diffusé sur tous les nœuds Cassandra de l'anneau :
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Lieu

    • cassIP est l'adresse IP du nœud Cassandra.
    • 9042 est le port Cassandra.
    • L'utilisateur par défaut est cassandra.
    • Le mot de passe par défaut est cassandra. Si vous avez déjà modifié le mot de passe, utilisez le mot de passe actuel.
  5. Exécutez la commande suivante lorsque l'invite cqlsh> s'affiche pour mettre à jour le mot de passe :
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  6. Exécutez la commande suivante à l'invite cqlsh> pour vous assurer que l'espace de clés est toujours disponible. Pour un seul centre de données :
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3'};
    Pour deux centres de données :
    ALTER KEYSPACE system_auth WITH replication = {'class': 'NetworkTopologyStrategy', 'dc-1': '3', 'dc-2': '3'};
  7. Quittez l'outil cqlsh :
    exit
  8. Exécutez nodetool repair pour vous assurer que la modification est propagée à tous les nœuds Cassandra :
    /opt/apigee/apigee-cassandra/bin/nodetool [-u username -pw password] repair system_auth

    Vous ne devez transmettre votre nom d'utilisateur et votre mot de passe que si vous avez activé l'authentification JMX pour Cassandra.