Restablece las contraseñas de Edge

Edge for Private Cloud v4.19.01

Después de completar la instalación, puedes restablecer las siguientes contraseñas:

En las siguientes secciones, encontrarás instrucciones para restablecer cada una de estas contraseñas.

Restablecer la contraseña de OpenLDAP

La forma de restablecer la contraseña de OpenLDAP depende de tu configuración. Según la versión de Edge OpenLDAP se puede instalar de la siguiente manera:

  • Una única instancia de OpenLDAP instalada en el nodo del servidor de administración. Por ejemplo, en una Configuración perimetral de 2, 5 y 9 nodos.
  • Varias instancias de OpenLDAP instaladas en los nodos del servidor de administración, configuradas con OpenLDAP la replicación. Por ejemplo, en una configuración de Edge de 12 nodos.
  • Varias instancias de OpenLDAP instaladas en sus propios nodos, configuradas con OpenLDAP la replicación. Por ejemplo, en una configuración de Edge de 13 nodos.

En el caso de una sola instancia de OpenLDAP instalada en el servidor de administración, realiza la lo siguiente:

  1. En el nodo del servidor de administración, ejecuta el siguiente comando para crear el nuevo OpenLDAP contraseña:
    /opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap 
      change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
  2. Ejecuta el siguiente comando para almacenar la nueva contraseña a fin de que acceda el servidor de administración:
    /opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server 
      store_ldap_credentials ‑p NEW_PASSWORD

    Este comando reinicia el servidor de administración.

En una configuración de replicación de OpenLDAP con OpenLDAP instalado en el servidor de administración , sigue los pasos anteriores en ambos nodos del servidor de administración para actualizar contraseña.

En una configuración de replicación de OpenLDAP con OpenLDAP ubicado en un nodo que no sea de administración en Google Cloud, asegúrate de cambiar primero la contraseña en ambos nodos de OpenLDAP del servidor de administración.

Restablecer la contraseña del administrador del sistema

Para restablecer la contraseña de administrador del sistema, debes restablecerla en dos lugares:

  • Servidor de administración
  • IU

Para restablecer la contraseña del administrador del sistema, haz lo siguiente:

  1. Edita el archivo de configuración silencioso que usaste para instalar la IU de Edge y establece lo siguiente propiedades:
    APIGEE_ADMINPW=NEW_PASSWORD
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

    Cuando pases la contraseña nueva, deberás incluir las propiedades de SMTP, ya que todas las propiedades en la IU.

  2. En el nodo de la IU, detén la IU de Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  3. Usa la utilidad apigee-setup para restablecer la contraseña en la IU de Edge desde la archivo de configuración:
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  4. (Solo si TLS está habilitado en la IU) Vuelve a habilitar TLS en la IU de Edge como que se describe en Configura TLS para la administración de usuario.
  5. En el servidor de administración, crea un nuevo archivo en formato XML. En este archivo, establece el ID de usuario como “admin” y define la contraseña, el nombre, el apellido y la dirección de correo electrónico con el siguiente formato:
    <User id="admin">
      <Password><![CDATA[password]]></Password>
      <FirstName>first_name</FirstName>
      <LastName>last_name</LastName>
      <EmailId>email_address</EmailId>
    </User>
  6. En el servidor de administración, ejecuta el siguiente comando:
    curl ‑u "admin_email_address:admin_password" ‑H \ 
      "Content‑Type: application/xml" ‑H "Accept: application/json" ‑X POST \ 
      "http://localhost:8080/v1/users/admin_email_address" ‑d @your_data_file

    En el ejemplo anterior, your_data_file es el archivo que creaste en el paso anterior.

    Edge actualiza tu contraseña de administrador en el servidor de administración.

  7. Borra el archivo en formato XML que creaste. Las contraseñas nunca se deben almacenar permanentemente en texto.

En un entorno de replicación de OpenLDAP con varios servidores de administración, restablecer la contraseña en un servidor de administración actualiza el otro automáticamente. Sin embargo, debes actualizar todos los nodos de la IU de Edge por separado.

Restablecer la contraseña de usuario de la organización

Para restablecer la contraseña de un usuario de la organización, usa la utilidad apigee-servce para Invoca apigee-setup, como se muestra en el siguiente ejemplo:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
  [-h]
  [-u USER_EMAIL]
  [-p USER_PWD]
  [-a ADMIN_EMAIL]
  [-P APIGEE_ADMINPW]
  [-f configFile]

Por ejemplo:

/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password 
  ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md 
  ~/Documents/utilities/README.md

A continuación, se muestra un ejemplo de un archivo de configuración que puedes usar con “-f” opción:

USER_NAME=user@myCo.com
USER_PWD="Foo12345"
APIGEE_ADMINPW=ADMIN_PASSWORD

También puedes usar la API de Update user para cambiar la contraseña del usuario.

Reglas de contraseña de los administradores del sistema y de la organización

Utiliza esta sección para aplicar el nivel deseado de longitud y seguridad de la contraseña para tu API. usuarios de administración. Los parámetros de configuración usan una serie de registros regulares preconfigurados (y numerados de forma única) expresiones para verificar el contenido de la contraseña (por ejemplo, mayúsculas, minúsculas, números y caracteres). Escribe esta configuración en /opt/apigee/customer/application/management-server.properties . Si ese archivo no existe, créalo.

Después de editar management-server.properties, reinicia el servidor de administración:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Luego, puedes definir la clasificación de la seguridad de las contraseñas agrupando diferentes combinaciones de códigos con expresiones regulares. Por ejemplo, puedes determinar que una contraseña con al menos una mayúscula y una una letra minúscula obtiene una calificación de seguridad de "3", pero una contraseña con al menos una letra minúscula una letra y un número recibe una calificación más alta de "4".

Propiedad Descripción
conf_security_password.validation.minimum.password.length=8
conf_security_password.validation.default.rating=2
conf_security_password.validation.minimum.rating.required=3

Úsalas para determinar las características generales de las contraseñas válidas. Predeterminado la calificación mínima para la seguridad de la contraseña (descrita más adelante en la tabla) es 3.

Ten en cuenta que password.validation.default.rating=2 es inferior a la calificación mínima. obligatorio, lo que significa que, si la contraseña ingresada no se ajusta a las reglas que configurar, la contraseña tiene una calificación de 2 y, por lo tanto, no es válida (por debajo del valor de 3).

A continuación, se muestran expresiones regulares que identifican las características de las contraseñas. Nota que cada uno esté numerado. Por ejemplo: password.validation.regex.5=... es la expresión número 5. Usarás estos números en una sección posterior del archivo para establecer y combinaciones diferentes que determinan la seguridad general de las contraseñas.

conf_security_password.validation.regex.1=^(.)\\1+$

1: Todos los caracteres se repiten

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2: Al menos una letra minúscula

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3: Al menos una letra mayúscula

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4: Al menos un dígito

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5: Al menos un carácter especial (sin incluir el guion bajo _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6: Al menos un guion bajo

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7: más de una letra minúscula

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8: Más de una letra mayúscula

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9: Más de un dígito

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10: Más de un carácter especial (sin incluir guion bajo)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11: Más de un guion bajo

Las siguientes reglas determinan la seguridad de las contraseñas en función de su contenido. Cada regla incluye una o más expresiones regulares de la sección anterior y asigna una fuerza numérica a él. La seguridad numérica de una contraseña se compara con la conf_security_password.validation.minimum.rating.required en la parte superior de este archivo para determinar si una contraseña es válida o no.

conf_security_password.validation.rule.1=1,AND,0
conf_security_password.validation.rule.2=2,3,4,AND,4
conf_security_password.validation.rule.3=2,9,AND,4
conf_security_password.validation.rule.4=3,9,AND,4
conf_security_password.validation.rule.5=5,6,OR,4
conf_security_password.validation.rule.6=3,2,AND,3
conf_security_password.validation.rule.7=2,9,AND,3
conf_security_password.validation.rule.8=3,9,AND,3

Cada regla está numerada. Por ejemplo: password.validation.rule.3=... es la regla número 3.

Cada regla utiliza el siguiente formato (a la derecha del signo igual):

regex-index-list,[AND|OR],rating

regex-index-list es la lista de expresiones regulares (por número desde la sección anterior), junto con un operador AND|OR (es decir, considera todas o algunas de las expresiones enumeradas).

rating es la calificación de la seguridad numérica que se le otorga a cada regla.

Por ejemplo, la regla 5 significa que cualquier contraseña con al menos un carácter especial O uno guion bajo obtiene una calificación de fuerza de 4. Con password.validation.minimum.rating.required=3 en la parte superior del archivo, una contraseña con calificación 4 es válida.

conf_security_rbac.password.validation.enabled=true

Establecer la validación de la contraseña de control de acceso basada en roles como falsa cuando se inicia el inicio de sesión único (SSO) esté habilitado. La opción predeterminada es true.

Restablecer la contraseña de Cassandra

De forma predeterminada, Cassandra se envía con la autenticación inhabilitada. Si habilitas la autenticación, usa un usuario predefinido llamado "Cassandra" con la contraseña "Cassandra". Puedes usar esta cuenta establece una contraseña diferente para esta cuenta o crea un nuevo usuario de Cassandra. Agregar, quitar y modificar usuarios con las sentencias CREATE/ALTER/DROP USER de Cassandra.

Para obtener información sobre cómo habilitar la autenticación de Cassandra, consulta Habilita la autenticación de Cassandra.

Para restablecer la contraseña de Cassandra, debes hacer lo siguiente:

  • Establece la contraseña en cualquier nodo de Cassandra y se transmitirá a todos los nodos de Cassandra. nodos en el cuadrilátero
  • Actualiza el servidor de administración, los procesadores de mensajes, los routers, los servidores Qpid y Postgres servidores de cada nodo con la contraseña nueva

Para obtener más información, consulta http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Para restablecer la contraseña de Cassandra:

  1. Accede a cualquier nodo de Cassandra con la herramienta de cqlsh y la configuración predeterminada. credenciales. Solo debes cambiar la contraseña de un nodo de Cassandra y será a todos los nodos de Cassandra del anillo:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Aquí:

    • cassIP es la dirección IP del nodo de Cassandra.
    • 9042 es el puerto de Cassandra.
    • El usuario predeterminado es cassandra.
    • La contraseña predeterminada es cassandra. Si cambiaste la contraseña anteriormente, utiliza la contraseña actual.
  2. Ejecuta el siguiente comando como el símbolo del sistema cqlsh> para actualizar la contraseña:
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Si la nueva contraseña contiene un carácter de comilla simple, escápate antes de la contraseña con una carácter de comillas simples.

  3. Sal de la herramienta cqlsh:
    exit
  4. En el nodo del servidor de administración, ejecuta el siguiente comando:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    De manera opcional, puedes pasar un archivo al comando que contenga el nombre de usuario y la contraseña nuevos:

    apigee-service edge-management-server store_cassandra_credentials -f configFile

    En el ejemplo anterior, configFile contiene lo siguiente:

    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD

    Este comando reinicia automáticamente el servidor de administración.

  5. Repite el paso 4 en:
    • Todos los procesadores de mensajes
    • Todos los routers
    • Todos los servidores Qpid (edge-qpid-server)
    • Servidores Postgres (edge-postgres-server)

Se cambió la contraseña de Cassandra.

Restablece la contraseña de PostgreSQL

De forma predeterminada, la base de datos de PostgreSQL tiene dos usuarios definidos: “postgres”. y “Apigee”. Ambos usuarios tienen la contraseña predeterminada "postgres". Usa el siguiente procedimiento para cambiar contraseña predeterminada.

Cambia la contraseña en todos los nodos principales de Postgres. Si tienes dos servidores de Postgres configurados en modo principal/en espera, solo deberá cambiar la contraseña del nodo principal. Consulta Configura la replicación principal-en espera para Postgres para obtener más información.

  1. En el nodo de instancia principal de Postgres, cambia los directorios a /opt/apigee/apigee-postgresql/pgsql/bin
  2. Configura el “postgres” de PostgreSQL contraseña de usuario:
    1. Accede a la base de datos de PostgreSQL con el siguiente comando:
      psql -h localhost -d apigee -U postgres
    2. Cuando se te solicite, ingresa el “postgres” existente de usuario como “postgres”.
    3. En el símbolo del sistema de PostgreSQL, ingresa el siguiente comando para cambiar la configuración contraseña:
      ALTER USER postgres WITH PASSWORD 'new_password';

      Si se ejecuta de forma correcta, PostgreSQL responde con lo siguiente:

      ALTER ROLE
    4. Sal de la base de datos de PostgreSQL con el siguiente comando:
      \q
  3. Configura el “Apigee” de PostgreSQL contraseña de usuario:
    1. Accede a la base de datos de PostgreSQL con el siguiente comando:
      psql -h localhost -d apigee -U apigee
    2. Cuando se te solicite, ingresa el permiso “apigee” de usuario como “postgres”.
    3. En el símbolo del sistema de PostgreSQL, ingresa el siguiente comando para cambiar la configuración contraseña:
      ALTER USER apigee WITH PASSWORD 'new_password';
    4. Sal de la base de datos de PostgreSQL con el siguiente comando:
      \q

    Puedes establecer el directorio “postgres” y “Apigee” de los usuarios con el mismo valor o con valores diferentes de salida.

  4. Configura APIGEE_HOME:
    export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Encripta la contraseña nueva:
    sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh new_password

    Este comando devuelve una contraseña encriptada. La contraseña encriptada comienza después del símbolo ":" carácter y no incluye el “:” por ejemplo, la contraseña encriptada para “apigee1234” es:

    Encrypted string:WheaR8U4OeMEM11erxA3Cw==
  6. Actualizar el nodo del servidor de administración con las nuevas contraseñas encriptadas del &quot;postgres&quot; y “Apigee” usuarios.
    1. En el servidor de administración, cambia el directorio a /opt/apigee/customer/application
    2. Edita el archivo management-server.properties para establecer las siguientes propiedades. Si este archivo no existe, créalo.
    3. Asegúrate de que el archivo sea propiedad de “apigee” usuario:
      chown apigee:apigee management-server.properties
  7. Actualiza todos los nodos del servidor Postgres y Qpid con la nueva contraseña encriptada.
    1. En el nodo del servidor Postgres o Qpid, cambia al siguiente directorio:
      /opt/apigee/customer/application
    2. Abre los siguientes archivos para editarlos:
      • postgres-server.properties
      • qpid-server.properties

      Si estos archivos no existen, créalos.

    3. Agrega las siguientes propiedades a los archivos:
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Asegúrate de que los archivos sean propiedad de “apigee” usuario:
      chown apigee:apigee postgres-server.properties
      chown apigee:apigee qpid-server.properties
  8. Actualiza el componente de SSO (si el SSO está habilitado):
    1. Conéctate al nodo en el que se encuentra el componente apigee-sso o accede a él en ejecución. También se lo conoce como servidor de SSO.

      En las instalaciones de AIO o de 3 nodos, este nodo es el mismo que el nodo de administración Servidor.

      Si tienes varios nodos que ejecutan el componente apigee-sso, debes realiza estos pasos en cada nodo.

    2. Abre el siguiente archivo para editarlo:
      /opt/apigee/customer/application/sso.properties 

      Si el archivo no existe, créalo.

    3. Agrega la siguiente línea al archivo:
      conf_uaa_database_password=new_password_in_plain_text

      Por ejemplo:

      conf_uaa_database_password=apigee1234
    4. Ejecuta el siguiente comando para aplicar los cambios de configuración al Componente apigee-sso:
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
    5. Repite estos pasos para cada servidor de SSO.
  9. Reinicia los siguientes componentes en el orden que se indica a continuación:
    1. Base de datos de PostgreSQL:
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Servidor Qpid:
      /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Servidor de Postgres:
      /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Servidor de administración:
      /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    5. Servidor de SSO:
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart