Réinitialiser les mots de passe Edge

Edge pour le cloud privé v4.19.01

Une fois l'installation terminée, vous pouvez réinitialiser les mots de passe suivants:

Vous trouverez des instructions pour réinitialiser chacun de ces mots de passe dans les sections suivantes.

Réinitialiser le mot de passe OpenLDAP

La façon dont vous réinitialisez le mot de passe OpenLDAP dépend de votre configuration. Selon votre configuration Edge, OpenLDAP peut être installé comme suit:

  • Une seule instance d'OpenLDAP installée sur le nœud du serveur de gestion. Par exemple, dans une configuration périphérique à deux, cinq ou neuf nœuds.
  • Plusieurs instances OpenLDAP installées sur des nœuds de serveur de gestion, configurées avec la réplication OpenLDAP. Par exemple, dans une configuration périphérique à 12 nœuds.
  • Plusieurs instances OpenLDAP installées sur leurs propres nœuds, configurées avec une réplication OpenLDAP. Par exemple, dans une configuration Edge à 13 nœuds.

Pour une seule instance d'OpenLDAP installée sur le serveur de gestion, procédez comme suit:

  1. Sur le nœud du serveur de gestion, exécutez la commande suivante pour créer le mot de passe OpenLDAP :
    /opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap 
      change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
  2. Exécutez la commande suivante pour stocker le nouveau mot de passe pour que le serveur de gestion puisse y accéder :
    /opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server 
      store_ldap_credentials ‑p NEW_PASSWORD

    Cette commande redémarre le serveur de gestion.

Pour mettre à jour le mot de passe lors d'une configuration de réplication OpenLDAP avec OpenLDAP installé sur des nœuds du serveur de gestion, suivez les étapes ci-dessus sur les deux nœuds de serveur de gestion.

Dans une configuration de réplication OpenLDAP avec OpenLDAP sur un nœud autre que celui de gestion, veillez à modifier d'abord le mot de passe sur les deux nœuds OpenLDAP, puis sur les deux.

Réinitialiser le mot de passe d'administrateur système

Pour réinitialiser le mot de passe administrateur du système, vous devez réinitialiser le mot de passe à deux endroits:

  • Serveur de gestion
  • Interface utilisateur

Pour réinitialiser le mot de passe administrateur système:

  1. Modifiez le fichier de configuration silencieuse que vous avez utilisé pour installer l'interface utilisateur Edge afin de définir les propriétés suivantes :
    APIGEE_ADMINPW=NEW_PASSWORD
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

    Notez que vous devez inclure les propriétés SMTP lorsque vous transmettez le nouveau mot de passe, car toutes les propriétés de l'interface utilisateur sont réinitialisées.

  2. Sur le nœud de l'UI, arrêtez l'UI Edge :
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  3. Utilisez l'utilitaire apigee-setup pour réinitialiser le mot de passe de l'interface utilisateur Edge à partir du fichier de configuration :
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  4. (Uniquement si TLS est activé dans l'interface utilisateur) Réactivez TLS sur l'interface utilisateur Edge, comme décrit dans la section Configurer TLS pour l'interface utilisateur de gestion.
  5. Sur le serveur de gestion, créez un fichier XML. Dans ce fichier, définissez l'ID utilisateur sur "admin" et définissez le mot de passe, le prénom, le nom et l'adresse e-mail au format suivant :
    <User id="admin">
      <Password><![CDATA[password]]></Password>
      <FirstName>first_name</FirstName>
      <LastName>last_name</LastName>
      <EmailId>email_address</EmailId>
    </User>
  6. Sur le serveur de gestion, exécutez la commande suivante :
    curl ‑u "admin_email_address:admin_password" ‑H \ 
      "Content‑Type: application/xml" ‑H "Accept: application/json" ‑X POST \ 
      "http://localhost:8080/v1/users/admin_email_address" ‑d @your_data_file

    your_data_file est le fichier que vous avez créé à l'étape précédente.

    Edge met à jour votre mot de passe administrateur sur le serveur de gestion.

  7. Supprimez le fichier XML que vous avez créé. Les mots de passe ne doivent jamais être stockés définitivement en texte clair.

Dans un environnement de réplication OpenLDAP avec plusieurs serveurs de gestion, la réinitialisation du mot de passe sur un serveur de gestion met à jour automatiquement l'autre serveur de gestion. Cependant, vous devez mettre à jour tous les nœuds de l'interface utilisateur Edge séparément.

Réinitialiser le mot de passe utilisateur de l'organisation

Pour réinitialiser le mot de passe d'un utilisateur de l'organisation, utilisez l'utilitaire apigee-servce pour appeler apigee-setup, comme indiqué dans l'exemple suivant:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
  [-h]
  [-u USER_EMAIL]
  [-p USER_PWD]
  [-a ADMIN_EMAIL]
  [-P APIGEE_ADMINPW]
  [-f configFile]

Exemple :

/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password 
  ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md 
  ~/Documents/utilities/README.md

Vous trouverez ci-dessous un exemple de fichier de configuration que vous pouvez utiliser avec l'option "-f" :

USER_NAME=user@myCo.com
USER_PWD="Foo12345"
APIGEE_ADMINPW=ADMIN_PASSWORD

Vous pouvez également utiliser l'API Mettre à jour le compte utilisateur pour modifier le mot de passe utilisateur.

Règles SysAdmin et mot de passe utilisateur de l'organisation

Cette section vous permet d'appliquer le niveau de longueur et de sécurité souhaité pour vos utilisateurs de la gestion des API. Les paramètres utilisent une série d'expressions régulières préconfigurées (et numérotées uniquement) pour vérifier le contenu des mots de passe (par exemple, majuscules, minuscules, chiffres et caractères spéciaux). Écrivez ces paramètres dans le fichier /opt/apigee/customer/application/management-server.properties. Si ce fichier n'existe pas, créez-le.

Après avoir modifié management-server.properties, redémarrez le serveur de gestion:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Vous pouvez ensuite définir des niveaux de difficulté du mot de passe en regroupant différentes combinaisons d'expressions régulières. Par exemple, vous pouvez déterminer qu'un mot de passe comportant au moins une lettre majuscule et une lettre minuscule obtient une note de force de 3, mais qu'un mot de passe comportant au moins une lettre minuscule et un chiffre obtient une note plus élevée : 4.

Propriété Description
conf_security_password.validation.minimum.password.length=8
conf_security_password.validation.default.rating=2
conf_security_password.validation.minimum.rating.required=3

Utilisez-les pour déterminer les caractéristiques générales des mots de passe valides. La valeur minimale par défaut pour le niveau de sécurité du mot de passe (décrit plus loin dans le tableau) est de 3.

Notez que password.validation.default.rating=2 est inférieur au minimum requis. Par conséquent, si un mot de passe saisi n'est pas inclus dans les règles que vous avez configurées, le mot de passe est de 2 ; il n'est donc pas valide (inférieur au minimum de 3).

Vous trouverez ci-dessous les expressions régulières qui identifient les caractéristiques des mots de passe. Notez que chaque option est numérotée. Par exemple, password.validation.regex.5=... est le numéro d'expression 5. Vous utiliserez ces chiffres dans une section ultérieure du fichier pour définir différentes combinaisons qui détermineront le niveau de sécurité global des mots de passe.

conf_security_password.validation.regex.1=^(.)\\1+$

1: Tous les caractères sont répétés

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2: au moins une lettre minuscule

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3: au moins une lettre majuscule

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4: au moins un chiffre

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5: au moins un caractère spécial (sans le trait de soulignement _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6: au moins un trait de soulignement

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7: plusieurs lettres minuscules

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8: plusieurs lettres majuscules

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9: plusieurs chiffres

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10: plusieurs caractères spéciaux (sans le trait de soulignement) ;

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11: plusieurs traits de soulignement.

Les règles suivantes déterminent le niveau de sécurité du mot de passe en fonction de son contenu. Chaque règle inclut une ou plusieurs expressions régulières de la section précédente, avec une force numérique. L'intensité numérique d'un mot de passe est comparée au nombre de conf_security_password.validation.minimum.rating.required en haut de ce fichier pour déterminer si un mot de passe est valide ou non.

conf_security_password.validation.rule.1=1,AND,0
conf_security_password.validation.rule.2=2,3,4,AND,4
conf_security_password.validation.rule.3=2,9,AND,4
conf_security_password.validation.rule.4=3,9,AND,4
conf_security_password.validation.rule.5=5,6,OR,4
conf_security_password.validation.rule.6=3,2,AND,3
conf_security_password.validation.rule.7=2,9,AND,3
conf_security_password.validation.rule.8=3,9,AND,3

Chaque règle est numérotée. Par exemple, password.validation.rule.3=... est la règle numéro 3.

Chaque règle utilise le format suivant (à droite du signe égal):

regex-index-list,[AND|OR],rating

regex-index-list est la liste des expressions régulières (par numéro tiré de la section précédente), ainsi qu'un opérateur AND|OR (c'est-à-dire toutes les expressions listées ou n'importe lesquelles).

rating est le score numérique attribué à chaque règle.

Par exemple, la règle 5 signifie que tout mot de passe comportant au moins un caractère spécial OU un trait de soulignement obtient un niveau de difficulté 4. Si le mot password.validation.minimum.rating.required=3 s'affiche en haut du fichier, le mot de passe associé à la note 4 est valide.

conf_security_rbac.password.validation.enabled=true

Définissez la validation des mots de passe de contrôle des accès basés sur les rôles sur "false" lorsque l'authentification unique (SSO) est activée. La valeur par défaut est "true".

Réinitialiser le mot de passe Cassandra

Par défaut, Cassandra est livré avec l'authentification désactivée. Si vous activez l'authentification, elle utilise un utilisateur prédéfini nommé "cassandra" avec un mot de passe "cassandra". Vous pouvez utiliser ce compte, définir un mot de passe différent ou créer un utilisateur Cassandra. Ajoutez, supprimez et modifiez des utilisateurs à l'aide des instructions Cassandra CREATE/ALTER/DROP USER.

Pour savoir comment activer l'authentification Cassandra, consultez Activer l'authentification Cassandra.

Pour réinitialiser le mot de passe Cassandra:

  • Définissez un mot de passe sur un nœud Cassandra pour tous les nœuds Cassandra de l'anneau.
  • Mettez à jour le serveur de gestion, les processeurs de message, les routeurs, les serveurs Qpid et les serveurs Postgres sur chaque nœud avec le nouveau mot de passe.

Pour plus d'informations, consultez http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

Pour réinitialiser le mot de passe Cassandra:

  1. Connectez-vous à un nœud Cassandra à l'aide de l'outil cqlsh et des identifiants par défaut. Vous ne devez modifier le mot de passe que sur un nœud Cassandra qui sera diffusé sur tous les nœuds Cassandra de l'anneau :
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Où :

    • cassIP est l'adresse IP du nœud Cassandra.
    • 9042 est le port de Cassandra.
    • L'utilisateur par défaut est cassandra.
    • Le mot de passe par défaut est cassandra. Si vous avez modifié le mot de passe précédemment, utilisez le mot de passe actuel.
  2. Exécutez la commande suivante comme invite cqlsh> pour mettre à jour le mot de passe :
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Si le nouveau mot de passe contient un guillemet simple, ajoutez un guillemet devant

  3. Quittez l'outil cqlsh :
    exit
  4. Sur le nœud du serveur de gestion, exécutez la commande suivante :
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    Vous pouvez éventuellement transmettre un fichier à la commande contenant le nouveau nom d'utilisateur et le nouveau mot de passe :

    apigee-service edge-management-server store_cassandra_credentials -f configFile

    configFile contient les éléments suivants :

    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD

    Cette commande redémarre automatiquement le serveur de gestion.

  5. Répétez l'étape 4 sur :
    • Tous les processeurs de message
    • Tous les routeurs
    • Tous les serveurs Qpid (edge-qpid-server)
    • Serveurs Postgres (edge-postgres-server)

Le mot de passe Cassandra a été modifié.

Réinitialiser le mot de passe PostgreSQL

Par défaut, la base de données PostgreSQL comporte deux utilisateurs définis: "postgres" et "apigee". Le mot de passe par défaut des deux utilisateurs est "postgres". Procédez comme suit pour modifier le mot de passe par défaut.

Modifiez le mot de passe sur tous les nœuds maîtres Postgres. Si vous avez deux serveurs Postgres configurés en mode maître/de secours, il vous suffit de modifier le mot de passe sur le nœud maître. Pour en savoir plus, consultez Configurer la réplication Master-Standby pour Postgres.

  1. Sur le nœud maître Postgres, remplacez les répertoires par /opt/apigee/apigee-postgresql/pgsql/bin.
  2. Définissez le mot de passe utilisateur "postgres" PostgreSQL :
    1. Connectez-vous à la base de données PostgreSQL à l'aide de la commande suivante :
      psql -h localhost -d apigee -U postgres
    2. Lorsque vous y êtes invité, saisissez le mot de passe utilisateur "postgres" existant en tant que "postgres".
    3. Lorsque l'invite de commande PostgreSQL apparaît, saisissez la commande suivante pour modifier le mot de passe par défaut :
      ALTER USER postgres WITH PASSWORD 'new_password';

      Si l'opération réussit, PostgreSQL répond comme suit:

      ALTER ROLE
    4. Quittez la base de données PostgreSQL à l'aide de la commande suivante :
      \q
  3. Définissez le mot de passe utilisateur "apigee" de PostgreSQL :
    1. Connectez-vous à la base de données PostgreSQL à l'aide de la commande suivante :
      psql -h localhost -d apigee -U apigee
    2. Lorsque vous y êtes invité, saisissez le mot de passe utilisateur "apigee" en tant que "postgres".
    3. Lorsque l'invite de commande PostgreSQL apparaît, saisissez la commande suivante pour modifier le mot de passe par défaut :
      ALTER USER apigee WITH PASSWORD 'new_password';
    4. Quittez la base de données PostgreSQL à l'aide de la commande suivante :
      \q

    Vous pouvez définir une valeur identique ou différente pour les mots de passe des utilisateurs "postgres" et "apigee".

  4. APIGEE_HOME défini :
    export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Chiffrez le nouveau mot de passe :
    sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh new_password

    Cette commande renvoie un mot de passe chiffré. Le mot de passe chiffré commence après le caractère ":" et n'inclut pas le caractère ":". Par exemple, le mot de passe chiffré pour "apigee1234" est le suivant:

    Encrypted string:WheaR8U4OeMEM11erxA3Cw==
  6. Mettez à jour le nœud du serveur de gestion avec les nouveaux mots de passe chiffrés pour les utilisateurs "postgres" et "apigee".
    1. Sur le serveur de gestion, remplacez le répertoire par /opt/apigee/customer/application.
    2. Modifiez le fichier management-server.properties pour définir les propriétés suivantes. Si ce fichier n'existe pas, créez-le.
    3. Assurez-vous que le fichier appartient à l'utilisateur "apigee" :
      chown apigee:apigee management-server.properties
  7. Mettez à jour tous les nœuds Postgres Server et Qpid Server avec le nouveau mot de passe chiffré.
    1. Sur le nœud du serveur Postgres ou du serveur Qpid, accédez au répertoire suivant :
      /opt/apigee/customer/application
    2. Ouvrez les fichiers suivants pour les modifier :
      • postgres-server.properties
      • qpid-server.properties

      Si ces fichiers n'existent pas, créez-les.

    3. Ajoutez les propriétés suivantes aux fichiers :
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Assurez-vous que les fichiers appartiennent à l'utilisateur "apigee" :
      chown apigee:apigee postgres-server.properties
      chown apigee:apigee qpid-server.properties
  8. Mettez à jour le composant SSO (si l'authentification unique est activée) :
    1. Connectez-vous au nœud sur lequel le composant apigee-sso est en cours d'exécution. Également appelé serveur SSO.

      Dans les installations AIO ou à trois nœuds, ce nœud est le même que le serveur de gestion.

      Si plusieurs nœuds exécutent le composant apigee-sso, vous devez effectuer ces étapes sur chaque nœud.

    2. Ouvrez le fichier suivant pour le modifier :
      /opt/apigee/customer/application/sso.properties 

      Si le fichier n'existe pas, créez-le.

    3. Ajoutez la ligne suivante au fichier :
      conf_uaa_database_password=new_password_in_plain_text

      Exemple :

      conf_uaa_database_password=apigee1234
    4. Exécutez la commande suivante pour appliquer vos modifications de configuration au composant apigee-sso :
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
    5. Répétez cette procédure pour chaque serveur SSO.
  9. Redémarrez les composants suivants dans l'ordre suivant :
    1. Base de données PostgreSQL :
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Serveur Qpid :
      /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Serveur Postgres :
      /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Serveur de gestion :
      /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    5. Serveur SSO :
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart