Edge for Private Cloud v4.19.01
インストールが完了したら、次のパスワードを再設定できます。
- OpenLDAP
- Apigee Edge システム管理者
- Edge 組織ユーザー
- Cassandra
以降のセクションで、それぞれのパスワードをリセットする手順を説明します。
OpenLDAP のパスワードを再設定する
OpenLDAP パスワードのリセット方法は、構成によって異なります。Edge によって異なる OpenLDAP は、次のコマンドでインストールできます。
- Management Server ノードにインストールされた OpenLDAP の単一インスタンス。たとえば、 2 ノード、5 ノード、または 9 ノードの Edge 構成。
- Management Server ノードに複数の OpenLDAP インスタンスがインストールされ、OpenLDAP が構成されている 必要があります。たとえば、12 ノードの Edge 構成の場合。
- 独自のノードに複数の OpenLDAP インスタンスをインストールし、OpenLDAP で構成 必要があります。たとえば、13 ノードの Edge 構成の場合。
Management Server に OpenLDAP のインスタンスを 1 つインストールした場合は、次のコマンドを実行します。 次のとおりです。
- Management Server ノードで、次のコマンドを実行して新しい OpenLDAP を作成します。
パスワード:
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
- 次のコマンドを実行して、Management Server がアクセスするための新しいパスワードを保存します。
/opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server store_ldap_credentials ‑p NEW_PASSWORD
このコマンドを実行すると、Management Server が再起動されます。
Management Server に OpenLDAP をインストールし、OpenLDAP レプリケーションを設定している 両方の Management Server ノードで、上記の手順に従い、 あります。
OpenLDAP が Management 以外のノードにある OpenLDAP レプリケーション設定 です。まず両方の OpenLDAP ノードでパスワードを変更し、次に両方の OpenLDAP ノードでパスワードを変更します。 Management Server ノードです。
システム管理者パスワードを再設定する
システム管理者パスワードを再設定するには、次の 2 か所でパスワードを再設定する必要があります。
- 管理サーバー
- UI
システム管理者パスワードを再設定するには:
- Edge UI のインストールに使用したサイレント構成ファイルを編集し、次のように設定します。
プロパティ:
APIGEE_ADMINPW=NEW_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y SMTPMAILFROM="My Company <myco@company.com>"
新しいパスワードを渡すときに SMTP プロパティも含める必要があります。これは、すべての UI のプロパティがリセットされます。
- UI ノードで Edge UI を停止します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
apigee-setupユーティリティを使用して、Edge UI のパスワードを config ファイル:/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (UI で TLS が有効になっている場合のみ)Edge UI で TLS を再度有効にします。 詳しくは、リソース管理サービス用の TLS の構成を UI です。
- Management Server で新しい XML ファイルを作成します。このファイルで、ユーザー ID を「admin」に設定します。
次の形式を使用して、パスワード、姓、名、メールアドレスを定義します。
<User id="admin"> <Password><![CDATA[password]]></Password> <FirstName>first_name</FirstName> <LastName>last_name</LastName> <EmailId>email_address</EmailId> </User>
- Management Server で、次のコマンドを実行します。
curl ‑u "admin_email_address:admin_password" ‑H \ "Content‑Type: application/xml" ‑H "Accept: application/json" ‑X POST \ "http://localhost:8080/v1/users/admin_email_address" ‑d @your_data_file
ここで、your_data_file は前の手順で作成したファイルです。
Edge によって、Management Server の管理者パスワードが更新されます。
- 作成した XML ファイルを削除します。パスワードを暗号化されていない状態で永続的に保存しないでください あります。
複数の Management Server がある OpenLDAP レプリケーション環境では、 一方の Management Server でパスワードを再設定すると、もう一方の Management Server でもパスワードが更新されます。 自動的に適用されます。ただし、すべての Edge UI ノードを個別に更新する必要があります。
組織ユーザーのパスワードを再設定する
組織ユーザーのパスワードを再設定するには、apigee-servce ユーティリティを使用して、
次の例のように、apigee-setup を呼び出します。
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
例:
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md ~/Documents/utilities/README.md
「-f」コマンドで使用できる構成ファイルの例を以下に示します。オプション:
USER_NAME=user@myCo.com USER_PWD="Foo12345" APIGEE_ADMINPW=ADMIN_PASSWORD
また、Update user API を使用して、 変更します。
SysAdmin および組織ユーザーのパスワード ルール
このセクションを使用して、API に必要なパスワードの長さと強度レベルを適用します
管理できます。設定では、一連の事前構成された(一意の番号の付いた)通常の
式を使用して、パスワードの内容(大文字、小文字、数字、特殊文字、
あります)。これらの設定を /opt/apigee/customer/application/management-server.properties に書き込む
表示されます。このファイルが存在しない場合は作成します。
management-server.properties を編集したら、管理サーバーを再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
次に、通常のパスワードのさまざまな組み合わせをグループ化して、パスワードの安全度を評価できます。 表します。たとえば、1 つのパスワードに少なくとも 1 つの大文字と 1 つの パスワード強度は小文字であれば「3」になりますが、 文字と数字を 1 つ追加すると、より強い「4」の評価が付けられます。
| プロパティ | 説明 |
|---|---|
conf_security_password.validation.minimum.password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum.rating.required=3 |
これらを使用して、有効なパスワードの全体的な特性を判断します。デフォルト パスワードの安全度の最低評価(この表の後半で説明)は 3 です。 password.validation.default.rating=2 は最小評価よりも低いことに注意してください。 これは、入力したパスワードがルールに当てはまらない場合に パスワードは、2 と評価されているため無効です(最小評価を下回っています) の 3)。 |
|
以下に、パスワードの特性を表す正規表現を示します。備考
それぞれに番号が振られます。たとえば
|
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1: すべての文字が繰り返されている |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: 小文字が 1 文字以上必要です |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3: 大文字が 1 文字以上必要です |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: 数字が 1 つ以上 |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: 1 つ以上の特殊文字(アンダースコア _ を除く) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: アンダースコアが 1 つ以上 |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7: 小文字が複数あります |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8: 大文字が複数あります |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9: 数字が 1 桁以上 |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10: 複数の特殊文字(アンダースコアを除く) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11: アンダースコアが複数あります |
|
次のルールにより、パスワードの内容に基づいてパスワードの安全度が決定されます。 各ルールには前のセクションの正規表現を 1 つ以上含めて、ルールに 数値強度を適用します。パスワードの安全度は、パスワードの安全度と このファイルの先頭に conf_security_password.validation.minimum.rating.required という番号を追加 パスワードが有効かどうかを判断します。 |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
各ルールには番号が付いています。たとえば
各ルールでは、次の形式(等号の右側)を使用します。 regex-index-list,[AND|OR],rating regex-index-list は正規表現のリストです。正規表現を指定します。
rating は、各ルールに与えられる数値の強度評価です。 たとえば、ルール 5 は、1 つ以上の特殊文字または 1 つ以上の
強度評価は 4 になります。 |
conf_security_rbac.password.validation.enabled=true |
シングル サインオン(SSO)時にロールベース アクセス制御のパスワード検証を false に設定する 有効になります。デフォルトは true です。 |
Cassandra のパスワードを再設定する
Cassandra では、デフォルトで認証が無効になっています。認証を有効にすると、
「cassandra」という名前の事前定義済みユーザーパスワード「cassandra」にします。このアカウントを使用して
このアカウントに別のパスワードを設定するか、新しい Cassandra ユーザーを作成してください。追加、削除、
Cassandra の CREATE/ALTER/DROP USER ステートメントを使用してユーザーを変更します。
Cassandra 認証を有効にする方法については、Cassandra 認証を有効にするをご覧ください。
Cassandra のパスワードをリセットするには、次のことを行う必要があります。
- いずれかの Cassandra ノードでパスワードを設定すると、すべての Cassandra ノードにブロードキャストされます リング内のノードの数
- Management Server、Message Processor、Router、Qpid サーバー、Postgres を更新する 新しいパスワードを使用して各ノードのサーバーを
詳細については、http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html をご覧ください。
Cassandra のパスワードをリセットするには:
cqlshツールとデフォルトの Cassandra ノードを使用して、任意の 1 つの Cassandra ノードにログインします。 認証情報を取得できます。パスワードの変更は 1 つの Cassandra ノードだけで行います。 リング内のすべての Cassandra ノードにブロードキャストします。/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
ここで
cassIPは、Cassandra ノードの IP アドレスです。9042は、Cassandra のポートです。- デフォルト ユーザーは
cassandraです。 - デフォルトのパスワードは
cassandraです。以前にパスワードを変更した場合は、 現在のパスワードを使用します。
cqlsh>プロンプトとして次のコマンドを実行して、パスワードを更新します。ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
新しいパスワードに単一引用符が含まれている場合は、先頭に「 使用しないでください。
cqlshツールを終了します。exit
- Management Server ノードで、次のコマンドを実行します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
必要に応じて、新しいユーザー名とパスワードを含むファイルをコマンドに渡すことができます。
apigee-service edge-management-server store_cassandra_credentials -f configFile
ここで、configFile には次のものが含まれます。
CASS_USERNAME=CASS_USERNAME CASS_PASSWORD=CASS_PASSWROD
このコマンドを実行すると、Management Server が自動的に再起動されます。
- 次の項目についてステップ 4 を繰り返します。
<ph type="x-smartling-placeholder">
- </ph>
- すべての Message Processor
- すべてのルーター
- すべての Qpid サーバー(edge-qpid-server)
- Postgres サーバー(edge-postgres-server)
これで、Cassandra のパスワードが変更されました。
PostgreSQL のパスワードを再設定する
デフォルトでは、PostgreSQL データベースには「postgres」という 2 つのユーザーが定義されています。「apigee」などを指定します。 どちらのユーザーもデフォルトのパスワードは「postgres」です。次の手順で設定を変更します。 表示されます。
すべての Postgres マスターノードのパスワードを変更します。2 つの Postgres サーバーが構成されている場合 マスター/スタンバイ モードでは、マスターノードのパスワードを変更するだけで済みます。詳しくは、 マスター / スタンバイ レプリケーションを Postgres をご覧ください。
- マスター Postgres ノードで、ディレクトリを
/opt/apigee/apigee-postgresql/pgsql/bin。 - PostgreSQL の「postgres」を設定するユーザー パスワード:
<ph type="x-smartling-placeholder">
- </ph>
- 次のコマンドを使用して PostgreSQL データベースにログインします。
psql -h localhost -d apigee -U postgres
- プロンプトが表示されたら、既存の「postgres」と入力します。ユーザー パスワードとして「postgres」と入力します。
- PostgreSQL コマンド プロンプトで、次のコマンドを入力してデフォルト値を変更します。
パスワード:
ALTER USER postgres WITH PASSWORD 'new_password';
成功すると、PostgreSQL は次のレスポンスを返します。
ALTER ROLE
- 次のコマンドを使用して PostgreSQL データベースを終了します。
\q
- 次のコマンドを使用して PostgreSQL データベースにログインします。
- PostgreSQL の「apigee」を設定するユーザー パスワード:
<ph type="x-smartling-placeholder">
- </ph>
- 次のコマンドを使用して PostgreSQL データベースにログインします。
psql -h localhost -d apigee -U apigee
- プロンプトが表示されたら、「apigee」と入力します。ユーザー パスワードとして「postgres」と入力します。
- PostgreSQL コマンド プロンプトで、次のコマンドを入力してデフォルト値を変更します。
パスワード:
ALTER USER apigee WITH PASSWORD 'new_password';
- 次のコマンドを使用して PostgreSQL データベースを終了します。
\q
「postgres」と「apigee」ユーザー同じ値または異なるパスワードに変更できます。 使用できます。
- 次のコマンドを使用して PostgreSQL データベースにログインします。
APIGEE_HOMEを設定します。export APIGEE_HOME=/opt/apigee/edge-postgres-server
- 新しいパスワードを暗号化します。
sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh new_password
このコマンドは、暗号化されたパスワードを返します。暗号化されたパスワードは、「:」の後に始まります。 「:」を含めないたとえば、「apigee1234」の暗号化されたパスワードは 次のとおりです。
Encrypted string:WheaR8U4OeMEM11erxA3Cw==
- Management Server ノードを更新して、
"postgres"「apigee」できます。
- Management Server で、ディレクトリを
/opt/apigee/customer/application。 management-server.propertiesファイルを編集して、次のプロパティを設定します。 このファイルが存在しない場合は作成します。- ファイルの所有者が「apigee」であることを確認します。user:
chown apigee:apigee management-server.properties
- Management Server で、ディレクトリを
- すべての Postgres Server ノードと Qpid Server ノードを新しい暗号化されたパスワードで更新します。
- Postgres Server または Qpid Server ノードで、次のディレクトリに移動します。
/opt/apigee/customer/application
- 次のファイルを編集用に開きます。
<ph type="x-smartling-placeholder">
- </ph>
postgres-server.propertiesqpid-server.properties
これらのファイルが存在しない場合は作成します。
- 次のプロパティをファイルに追加します。
conf_pg-agent_password=newEncryptedPasswordForPostgresUserconf_pg-ingest_password=newEncryptedPasswordForPostgresUserconf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUserconf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUserconf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- ファイルの所有者が「apigee」であることを確認します。user:
chown apigee:apigee postgres-server.properties
chown apigee:apigee qpid-server.properties
- Postgres Server または Qpid Server ノードで、次のディレクトリに移動します。
- SSO コンポーネントを更新します(SSO が有効になっている場合)。
<ph type="x-smartling-placeholder">
- </ph>
apigee-ssoコンポーネントが存在するノードに接続またはログインする できます。これは SSO サーバーとも呼ばれます。AIO または 3 ノード構成では、このノードは Management Service できます。
複数のノードで
apigee-ssoコンポーネントを実行している場合は、 各ノードでこれらの手順を実施します- 次のファイルを編集用に開きます。
/opt/apigee/customer/application/sso.properties
ファイルが存在しない場合は作成します。
- 次の行をファイルに追加します。
conf_uaa_database_password=new_password_in_plain_text
例:
conf_uaa_database_password=apigee1234
- 次のコマンドを実行して、構成の変更を
apigee-ssoコンポーネント:/opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
- この手順を SSO サーバーごとに繰り返します。
- 次のコンポーネントを次の順序で再起動します。
<ph type="x-smartling-placeholder">
- </ph>
- PostgreSQL データベース:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
- Qpid Server:
/opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
- Postgres Server:
/opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
- Management Server:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- SSO サーバー:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart
- PostgreSQL データベース: