Edge per Private Cloud v4.19.01
Al termine dell'installazione puoi reimpostare le seguenti password:
Le istruzioni per reimpostare ciascuna di queste password sono incluse nelle sezioni che seguono.
Reimposta password OpenLDAP
La modalità di reimpostazione della password OpenLDAP dipende dalla configurazione. A seconda della configurazione Edge, OpenLDAP può essere installato come:
- Una singola istanza di OpenLDAP installata sul nodo del server di gestione. Ad esempio, in una configurazione perimetrale a 2, 5 o 9 nodi.
- Più istanze OpenLDAP installate sui nodi del server di gestione, configurate con la replica OpenLDAP. ad esempio in una configurazione perimetrale a 12 nodi.
- Più istanze OpenLDAP installate sui propri nodi, configurate con la replica OpenLDAP. ad esempio in una configurazione perimetrale a 13 nodi.
Per una singola istanza di OpenLDAP installata sul server di gestione, esegui quanto segue:
- Sul nodo del server di gestione, esegui questo comando per creare la nuova password di OpenLDAP:
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
- Esegui questo comando per archiviare la nuova password per l'accesso da parte del server di gestione:
/opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server store_ldap_credentials ‑p NEW_PASSWORD
Questo comando riavvia il server di gestione.
In una configurazione di replica OpenLDAP con OpenLDAP installato sui nodi del server di gestione, segui i passaggi precedenti su entrambi i nodi del server di gestione per aggiornare la password.
In una configurazione di replica OpenLDAP in cui OpenLDAP si trova su un nodo diverso dal server di gestione, assicurati di modificare prima la password su entrambi i nodi OpenLDAP, poi su entrambi i nodi del server di gestione.
Reimposta password amministratore di sistema
Per reimpostare la password dell'amministratore di sistema è necessario reimpostare la password in due modi:
- Server di gestione
- UI
Per reimpostare la password dell'amministratore di sistema:
- Modifica il file di configurazione silenziosa che hai utilizzato per installare l'interfaccia utente Edge per impostare le seguenti
proprietà:
APIGEE_ADMINPW=NEW_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y SMTPMAILFROM="My Company <myco@company.com>"
Tieni presente che devi includere le proprietà SMTP quando trasmetti la nuova password perché tutte le proprietà dell'interfaccia utente vengono reimpostate.
- Sul nodo UI, arresta l'interfaccia utente Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- Utilizza l'utilità
apigee-setup
per reimpostare la password sulla UI perimetrale dal file di configurazione:/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Solo se TLS è abilitato nell'interfaccia utente) Riattiva TLS sulla UI Edge come descritto in Configurare TLS per la UI di gestione.
- Sul server di gestione, crea un nuovo file XML. In questo file, imposta l'ID utente su "admin" e definisci password, nome, cognome e indirizzo email nel seguente formato:
<User id="admin"> <Password><![CDATA[password]]></Password> <FirstName>first_name</FirstName> <LastName>last_name</LastName> <EmailId>email_address</EmailId> </User>
- Sul server di gestione, esegui questo comando:
curl ‑u "admin_email_address:admin_password" ‑H \ "Content‑Type: application/xml" ‑H "Accept: application/json" ‑X POST \ "http://localhost:8080/v1/users/admin_email_address" ‑d @your_data_file
Dove your_data_file è il file creato nel passaggio precedente.
Edge aggiorna la password di amministratore sul server di gestione.
- Elimina il file XML che hai creato. Le password non devono mai essere memorizzate in modo permanente in chiaro.
In un ambiente di replica OpenLDAP con più server di gestione, la reimpostazione della password su un server di gestione comporta l'aggiornamento automatico dell'altro server. Tuttavia, devi aggiornare separatamente tutti i nodi dell'UI perimetrale.
Reimposta la password utente dell'organizzazione
Per reimpostare la password di un utente dell'organizzazione, utilizza l'utilità apigee-servce
per richiamare apigee-setup
, come illustrato nell'esempio seguente:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
Ad esempio:
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md ~/Documents/utilities/README.md
Di seguito è riportato un esempio di file di configurazione che puoi utilizzare con l'opzione "-f":
USER_NAME=user@myCo.com USER_PWD="Foo12345" APIGEE_ADMINPW=ADMIN_PASSWORD
Puoi anche utilizzare l'API Update user per cambiare la password dell'utente.
Regole per le password degli utenti dell'organizzazione e dell'amministratore del sistema
Utilizza questa sezione per applicare il livello desiderato di lunghezza e sicurezza delle password agli utenti della gestione delle API. Le impostazioni utilizzano una serie di espressioni regolari preconfigurate (e numerate in modo univoco) per controllare il contenuto delle password (come lettere maiuscole, minuscole, numeri e caratteri speciali). Scrivi queste impostazioni in /opt/apigee/customer/application/management-server.properties
file. Se il file non esiste, crealo.
Dopo aver modificato management-server.properties
, riavvia il server di gestione:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Puoi quindi impostare i livelli di sicurezza della password raggruppando diverse combinazioni di espressioni regolari. Ad esempio, puoi determinare che una password con almeno una lettera maiuscola e una minuscola riceva una valutazione di sicurezza pari a "3", ma che una password con almeno una lettera minuscola e un numero riceva una valutazione più elevata pari a "4".
Proprietà | Descrizione |
---|---|
conf_security_password.validation.minimum.password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum.rating.required=3 |
Utilizzale per determinare le caratteristiche generali delle password valide. La valutazione minima predefinita per la sicurezza della password (descritta di seguito nella tabella) è 3. Tieni presente che il valore password.validation.default.rating=2 è inferiore alla valutazione minima obbligatoria, il che significa che se una password inserita non rientra nelle regole che hai configurato, la password ha il valore 2 e non è valida (inferiore alla valutazione minima di 3). |
Di seguito sono riportate le espressioni regolari che identificano le caratteristiche delle password. Tieni presente che ognuno è numerato. Ad esempio, |
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1: tutti i caratteri si ripetono |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: almeno una lettera minuscola |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3: almeno una lettera maiuscola |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: almeno una cifra |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: almeno un carattere speciale (escluso il trattino basso _) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: almeno un trattino basso |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7: più di una lettera minuscola |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8: più di una lettera maiuscola |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9: più di una cifra |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10: più di un carattere speciale (escluso il trattino basso) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11: più di un trattino basso |
Le seguenti regole determinano la sicurezza delle password in base ai contenuti delle password. Ogni regola include una o più espressioni regolari della sezione precedente a cui assegna un valore numerico. La sicurezza numerica di una password viene confrontata con il numero conf_security_password.validation.minimum.rating.required nella parte superiore di questo file per determinare se una password è valida o meno. |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
Ogni regola è numerata. Ad esempio, Ogni regola utilizza il seguente formato (a destra del segno di uguale): regex-index-list,[AND|OR],rating regex-index-list è l'elenco delle espressioni regolari (in base al numero della
sezione precedente), insieme a un operatore rating è la valutazione di efficacia numerica assegnata a ogni regola. Ad esempio, la regola 5 indica che ogni password con almeno un carattere speciale OPPURE un trattino basso ottiene un punteggio di sicurezza pari a 4. Con |
conf_security_rbac.password.validation.enabled=true |
Imposta la convalida delle password per il controllo degli accessi basato sui ruoli su false quando è abilitato il Single Sign-On (SSO). Il valore predefinito è true. |
Reimposta password Cassandra
Per impostazione predefinita, Cassandra viene fornito con l'autenticazione disattivata. Se abiliti l'autenticazione, viene utilizzato un utente predefinito denominato "cassandra" con la password "cassandra". Puoi utilizzare questo account, impostare una password diversa per l'account o creare un nuovo utente Cassandra. Aggiungi, rimuovi e
modifica gli utenti utilizzando le istruzioni CREATE/ALTER/DROP USER
di Cassandra.
Per informazioni su come attivare l'autenticazione Cassandra, vedi Attivare l'autenticazione Cassandra.
Per reimpostare la password Cassandra, devi:
- Imposta la password su qualsiasi nodo Cassandra e verrà trasmessa a tutti i nodi Cassandra nell'anello
- Aggiorna il server di gestione, i processori di messaggi, i router, i server Qpid e i server Postgres su ciascun nodo con la nuova password
Per ulteriori informazioni, consulta http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.
Per reimpostare la password Cassandra:
- Accedi a qualsiasi nodo Cassandra utilizzando lo strumento
cqlsh
e le credenziali predefinite. Devi cambiare la password su un solo nodo Cassandra e la password verrà trasmessa a tutti i nodi Cassandra nell'anello:/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
Dove:
cassIP
è l'indirizzo IP del nodo Cassandra.9042
è la porta di Cassandra.- L'utente predefinito è
cassandra
. - La password predefinita è
cassandra
. Se hai modificato la password in precedenza, utilizza la password attuale.
- Esegui questo comando quando
cqlsh>
richiede di aggiornare la password:ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
Se la nuova password contiene un carattere di virgolette singole, aggiungile un carattere di escape.
- Esci dallo strumento
cqlsh
:exit
- Sul nodo del server di gestione, esegui questo comando:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
Se vuoi, puoi passare un file al comando contenente il nuovo nome utente e la nuova password:
apigee-service edge-management-server store_cassandra_credentials -f configFile
Dove configFile contiene quanto segue:
CASS_USERNAME=CASS_USERNAME CASS_PASSWORD=CASS_PASSWROD
Questo comando riavvia automaticamente il server di gestione.
- Ripeti il passaggio 4 a:
- Tutti i processori di messaggi
- Tutti i router
- Tutti i server Qpid (edge-qpid-server)
- Server Postgres (server edge-postgres)
La password Cassandra è stata modificata.
Reimposta password PostgreSQL
Per impostazione predefinita, il database PostgreSQL ha due utenti definiti: "postgres" e "apigee". Entrambi gli utenti hanno una password predefinita di "postgres". Utilizza la seguente procedura per modificare la password predefinita.
Modifica la password su tutti i nodi master Postgres. Se hai due server Postgres configurati in modalità master/standby, devi cambiare solo la password sul nodo master. Per saperne di più, consulta Configurare la replica master-in standby per Postgres.
- Sul nodo Master Postgres, modifica le directory in
/opt/apigee/apigee-postgresql/pgsql/bin
. - Imposta la password utente "postgres" per PostgreSQL:
- Accedi al database PostgreSQL utilizzando il comando:
psql -h localhost -d apigee -U postgres
- Quando richiesto, inserisci la password utente "postgres" esistente come "postgres".
- Nel prompt dei comandi PostgreSQL, inserisci il comando seguente per modificare la password predefinita:
ALTER USER postgres WITH PASSWORD 'new_password';
In caso di esito positivo, PostgreSQL risponde con quanto segue:
ALTER ROLE
- Esci dal database PostgreSQL utilizzando il seguente comando:
\q
- Accedi al database PostgreSQL utilizzando il comando:
- Imposta la password utente "apigee" per PostgreSQL:
- Accedi al database PostgreSQL utilizzando il comando:
psql -h localhost -d apigee -U apigee
- Quando richiesto, inserisci la password utente "apigee" come "postgres".
- Nel prompt dei comandi PostgreSQL, inserisci il comando seguente per modificare la password predefinita:
ALTER USER apigee WITH PASSWORD 'new_password';
- Esci dal database PostgreSQL utilizzando il comando:
\q
Puoi impostare le password degli utenti "postgres" e "apigee" sullo stesso valore o su valori diversi.
- Accedi al database PostgreSQL utilizzando il comando:
- Imposta
APIGEE_HOME
:export APIGEE_HOME=/opt/apigee/edge-postgres-server
- Cripta la nuova password:
sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh new_password
Questo comando restituisce una password criptata. La password criptata inizia dopo il carattere ":" e non include ":"; ad esempio, la password criptata per "apigee1234" è:
Encrypted string:WheaR8U4OeMEM11erxA3Cw==
- Aggiorna il nodo del server di gestione con le nuove password criptate per gli utenti "postgres" e "apigee".
- Sul server di gestione, modifica la directory in
/opt/apigee/customer/application
. - Modifica il file
management-server.properties
per impostare le seguenti proprietà. Se il file non esiste, crealo. - Assicurati che il file sia di proprietà di un utente "apigee":
chown apigee:apigee management-server.properties
- Sul server di gestione, modifica la directory in
- Aggiorna tutti i nodi Postgres e Qpid Server con la nuova password criptata.
- Sul nodo del server Postgres o del server Qpid, passa alla directory seguente:
/opt/apigee/customer/application
- Apri i seguenti file da modificare:
postgres-server.properties
qpid-server.properties
Se questi file non esistono, creali.
- Aggiungi le seguenti proprietà ai file:
conf_pg-agent_password=newEncryptedPasswordForPostgresUser
conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- Assicurati che i file siano di proprietà di un utente "apigee":
chown apigee:apigee postgres-server.properties
chown apigee:apigee qpid-server.properties
- Sul nodo del server Postgres o del server Qpid, passa alla directory seguente:
- Aggiorna il componente SSO (se SSO è abilitato):
Connettiti o accedi al nodo su cui è in esecuzione il componente
apigee-sso
. Denominato anche server SSO.Nelle installazioni AIO o a 3 nodi, questo nodo è lo stesso del server di gestione.
Se sono presenti più nodi che eseguono il componente
apigee-sso
, devi eseguire questi passaggi su ciascun nodo.- Apri il seguente file per modificarlo:
/opt/apigee/customer/application/sso.properties
Se il file non esiste, crealo.
- Aggiungi la seguente riga al file:
conf_uaa_database_password=new_password_in_plain_text
Ad esempio:
conf_uaa_database_password=apigee1234
- Esegui questo comando per applicare le modifiche alla configurazione al
componente
apigee-sso
:/opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
- Ripeti questi passaggi per ciascun server SSO.
- Riavvia i componenti seguenti nel seguente ordine:
- Database PostgreSQL:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
- Qpid Server:
/opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
- Server Postgres:
/opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
- Server di gestione:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Server SSO:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart
- Database PostgreSQL: