איפוס הסיסמאות של Edge

Edge for Private Cloud גרסה 4.19.01

לאחר השלמת ההתקנה, תוכלו לאפס את הסיסמאות הבאות:

• OpenLDAP
• אדמין מערכת ב-Apigee Edge
• משתמש בארגון קצה
• קסנדרה

ההוראות לאיפוס של כל אחת מהסיסמאות האלה מפורטות בקטעים הבאים.

איפוס הסיסמה של OpenLDAP

הדרך שבה תאפסו את הסיסמה של OpenLDAP תלויה בהגדרות שלכם. בהתאם למכשיר שלכם הגדרות אישיות, ניתן להתקין את OpenLDAP כ:

• מופע יחיד של OpenLDAP המותקן בצומת של שרת הניהול. לדוגמה, הגדרת Edge עם 2 צמתים, 5 צמתים או 9 צמתים.
• מספר מופעי OpenLDAP מותקנים בצמתים של שרת ניהול, שהוגדרו עם OpenLDAP רפליקציה. לדוגמה, בתצורת Edge עם 12 צמתים.
• מספר מכונות OpenLDAP הותקנו בצמתים שלהן, שהוגדרו באמצעות OpenLDAP רפליקציה. לדוגמה, בתצורה של Edge עם 13 צמתים.

עבור מופע בודד של OpenLDAP שמותקן בשרת הניהול, מבצעים את הפקודה הבאים:

1. בצומת של שרת הניהול, מריצים את הפקודה הבאה כדי ליצור את OpenLDAP החדש סיסמה:

   /opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap 
     change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD

2. מריצים את הפקודה הבאה כדי לשמור את הסיסמה החדשה לצורך גישה של שרת הניהול:

   /opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server 
     store_ldap_credentials ‑p NEW_PASSWORD

   הפקודה הזו מפעילה מחדש את שרת הניהול.

בהגדרת רפליקציית OpenLDAP כאשר OpenLDAP מותקן בשרת הניהול צמתים, צריך לבצע את השלבים שלמעלה בשני הצמתים של שרתי הניהול כדי לעדכן את סיסמה.

בהגדרת רפליקציית OpenLDAP כאשר OpenLDAP נמצא בצומת שהוא לא ניהול שרת, יש להקפיד קודם לשנות את הסיסמה בשני הצמתים של OpenLDAP, ולאחר מכן בשני הצמתים צמתים של שרתי ניהול.

איפוס סיסמת מנהל המערכת

איפוס הסיסמה של מנהל המערכת מחייב לאפס את הסיסמה בשני מקומות:

• שרת ניהול
• ממשק משתמש

כדי לאפס את סיסמת מנהל המערכת:

1. עורכים את קובץ התצורה השקט שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את ההגדרות הבאות נכסים:

   APIGEE_ADMINPW=NEW_PASSWORD
   SMTPHOST=smtp.gmail.com
   SMTPPORT=465
   SMTPUSER=foo@gmail.com
   SMTPPASSWORD=bar
   SMTPSSL=y
   SMTPMAILFROM="My Company <myco@company.com>"

   שימו לב שתצטרכו לכלול את מאפייני ה-SMTP כשמעבירים את הסיסמה החדשה, מאחר שכל המאפיינים בממשק המשתמש מתאפסים.

2. בצומת UI, מפסיקים את ממשק המשתמש של Edge:

   /opt/apigee/apigee-service/bin/apigee-service edge-ui stop

3. משתמשים בכלי apigee-setup כדי לאפס את הסיסמה בממשק המשתמש של Edge קובץ תצורה:

   /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile

4. (רק אם TLS מופעל בממשק המשתמש) הפעלה מחדש של TLS בממשק המשתמש של Edge בתור שמתואר במאמר הגדרת TLS לניהול UI.
5. בשרת הניהול, יוצרים קובץ XML חדש. בקובץ הזה, צריך להגדיר את מזהה המשתמש כ'אדמין' ומגדירים את הסיסמה, השם הפרטי, שם המשפחה וכתובת האימייל בפורמט הבא:

   <User id="admin">
     <Password><![CDATA[password]]></Password>
     <FirstName>first_name</FirstName>
     <LastName>last_name</LastName>
     <EmailId>email_address</EmailId>
   </User>

6. בשרת הניהול, מריצים את הפקודה הבאה:

   curl ‑u "admin_email_address:admin_password" ‑H \ 
     "Content‑Type: application/xml" ‑H "Accept: application/json" ‑X POST \ 
     "http://localhost:8080/v1/users/admin_email_address" ‑d @your_data_file

   כאשר your_data_file הוא הקובץ שיצרתם בשלב הקודם.

   Edge מעדכן את סיסמת האדמין שלך בשרת הניהול.

7. מוחקים את קובץ ה-XML שיצרתם. אין לשמור סיסמאות באופן סופי במצב נקי טקסט.

בסביבה של רפליקציית OpenLDAP עם שרתי ניהול מרובים, איפוס הסיסמה בשרת ניהול אחד מעדכן את שרת הניהול השני באופן אוטומטי. עם זאת, צריך לעדכן את כל הצמתים של ממשק המשתמש של Edge בנפרד.

איפוס הסיסמה של המשתמש בארגון

כדי לאפס את הסיסמה של משתמש בארגון, אפשר להשתמש בכלי apigee-servce כדי: מפעילים את apigee-setup, כמו בדוגמה הבאה:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
  [-h]
  [-u USER_EMAIL]
  [-p USER_PWD]
  [-a ADMIN_EMAIL]
  [-P APIGEE_ADMINPW]
  [-f configFile]

לדוגמה:

/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password 
  ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword

cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md 
  ~/Documents/utilities/README.md

למטה מוצג קובץ תצורה לדוגמה שבו ניתן להשתמש עם הסימן "-f" אפשרות:

USER_NAME=user@myCo.com
USER_PWD="Foo12345"
APIGEE_ADMINPW=ADMIN_PASSWORD

אפשר גם להשתמש ב-Update user API כדי לשנות את סיסמת המשתמש.

כללי סיסמאות של משתמשים בארגון וב-SysAdmin

השתמש בקטע זה כדי לאכוף את הרמה הרצויה של אורך וחוזק הסיסמה עבור ה-API שלך. משתמשי ניהול. ההגדרות משתמשות בסדרה של הגדרות קבועות מראש (וממוספרות באופן ייחודי) ביטויים נוספים כדי לבדוק את תוכן הסיסמה (למשל אותיות רישיות, אותיות קטנות, מספרים ותווים מיוחדים, תווים). כתיבת ההגדרות האלה אל /opt/apigee/customer/application/management-server.properties חדש. אם הקובץ לא קיים, יוצרים אותו.

לאחר העריכה של management-server.properties, צריך להפעיל מחדש את שרת הניהול:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

לאחר מכן תוכלו להגדיר דירוגים של חוזק סיסמה על ידי קיבוץ שילובים שונים של הבעות פנים. לדוגמה, ניתן לקבוע שסיסמה עם לפחות סיסמה אחת גדולה ואחת לפחות דירוג החוזק של אות קטנה הוא '3', אבל שהסיסמה כוללת לפחות אות קטנה אחת אות ומספר אחד מקבלים דירוג גבוה יותר של '4'.

conf_security_password.validation.minimum.password.length=8
conf_security_password.validation.default.rating=2
conf_security_password.validation.minimum.rating.required=3

conf_security_password.validation.regex.1=^(.)\\1+$

conf_security_password.validation.regex.2=^.*[a-z]+.*$

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

conf_security_password.validation.regex.4=^.*[0-9]+.*$

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

conf_security_password.validation.regex.6=^.*[_]+.*$

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

conf_security_password.validation.rule.1=1,AND,0
conf_security_password.validation.rule.2=2,3,4,AND,4
conf_security_password.validation.rule.3=2,9,AND,4
conf_security_password.validation.rule.4=3,9,AND,4
conf_security_password.validation.rule.5=5,6,OR,4
conf_security_password.validation.rule.6=3,2,AND,3
conf_security_password.validation.rule.7=2,9,AND,3
conf_security_password.validation.rule.8=3,9,AND,3

regex-index-list,[AND|OR],rating

conf_security_rbac.password.validation.enabled=true

איפוס הסיסמה של Cassandra

כברירת מחדל, המשלוח של Cassandra נשלח כשהאימות מושבת. אם תפעילו את האימות, משתמש במשתמש מוגדר מראש בשם 'cassandra' עם הסיסמה של "cassandra". אפשר להשתמש בחשבון הזה, צריך להגדיר סיסמה אחרת לחשבון הזה או ליצור משתמש חדש ב-Cassandra. להוסיף, להסיר ו לשנות משתמשים באמצעות הצהרות CREATE/ALTER/DROP USER של Cassandra.

למידע על אופן ההפעלה של אימות Cassandra, ראו הפעלת אימות Cassandra.

כדי לאפס את הסיסמה של Cassandra, צריך:

• מגדירים את הסיסמה בכל צומת של Cassandra, והיא תשודר לכל חשבונות Cassandra צמתים בטבעת
• עדכון שרת הניהול, מעבדי הודעות, נתבים, שרתי Qpid ו-Postgres שרתים בכל צומת עם הסיסמה החדשה

מידע נוסף זמין בכתובת http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.

כדי לאפס את הסיסמה של Cassandra:

1. מתחברים לכל צומת של Cassandra באמצעות הכלי cqlsh וברירת המחדל פרטי הכניסה. צריך לשנות את הסיסמה רק בצומת אחד של Cassandra, והיא תהיה שידור לכל הצמתים של Cassandra בזירה:

   /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

   כאשר:

   • cassIP היא כתובת ה-IP של צומת Cassandra.
   • 9042 הוא נמל קסנדרה.
   • משתמש ברירת המחדל הוא cassandra.
   • סיסמת ברירת המחדל היא cassandra. אם שיניתם את הסיסמה בעבר, להשתמש בסיסמה הנוכחית.
2. מריצים את הפקודה הבאה בתור הבקשה של cqlsh> כדי לעדכן את הסיסמה:

   ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

   אם הסיסמה החדשה מכילה תו גרש יחיד, יש לסמן אותה בתו בריחה (escape) לפניה בתו של גרש בודד.

3. כדי לצאת מהכלי cqlsh:

   exit

4. בצומת של שרת הניהול, מריצים את הפקודה הבאה:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

   אפשר גם להעביר קובץ לפקודה שמכילה את שם המשתמש והסיסמה החדשים:

   apigee-service edge-management-server store_cassandra_credentials -f configFile

   כאשר configFile מכיל את הדברים הבאים:

   CASS_USERNAME=CASS_USERNAME
   CASS_PASSWORD=CASS_PASSWROD

   הפקודה הזו מפעילה מחדש את שרת הניהול באופן אוטומטי.

5. חוזרים על שלב 4 ב:
   • כל מעבדי ההודעות
   • כל הנתבים
   • כל שרתי ה-Qpid (קצה-qpid-server)
   • שרתי Postgres (End-postgres-server)

הסיסמה של Cassandra השתנתה.

איפוס הסיסמה ב-PostgreSQL

כברירת מחדל, במסד הנתונים של PostgreSQL יש שני משתמשים מוגדרים: 'postgres' ו-'apigee'. לשני המשתמשים יש סיסמת ברירת מחדל מסוג "postgres". יש לפעול לפי התהליך הבא כדי לשנות את סיסמת ברירת מחדל.

שינוי הסיסמה בכל הצמתים הראשיים של Postgres. אם הגדרתם שני שרתי Postgres במצב מאסטר/המתנה, צריך לשנות את הסיסמה רק בצומת הראשי. צפייה הגדרה של רפליקציה מסוג Master-Standby בשביל לקבלת מידע נוסף, אפשר ללחוץ על Postgres.

1. בצומת Master Postgres, משנים את הספריות ל- /opt/apigee/apigee-postgresql/pgsql/bin
2. מגדירים את PostgreSQL 'postgres' סיסמת משתמש:
   1. מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:

      psql -h localhost -d apigee -U postgres

   2. כשמופיעה בקשה, מזינים את ה-"postgres" הקיימים כ- "postgres".
   3. בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את ברירת המחדל. סיסמה:

      ALTER USER postgres WITH PASSWORD 'new_password';

      לאחר הצלחה, PostgreSQL מגיב עם הדברים הבאים:

      ALTER ROLE

   4. יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה הבאה:

      \q

3. מגדירים את ה-'apigee' של PostgreSQL סיסמת משתמש:
   1. מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:

      psql -h localhost -d apigee -U apigee

   2. כשמופיעה בקשה, מזינים את ה-apigee כ- "postgres".
   3. בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את ברירת המחדל. סיסמה:

      ALTER USER apigee WITH PASSWORD 'new_password';

   4. יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה:

      \q

   אפשר להגדיר את "postgres" ו-'apigee' משתמשים לאותו ערך או ערכים.

4. הגדרה של APIGEE_HOME:

   export APIGEE_HOME=/opt/apigee/edge-postgres-server

5. להצפין את הסיסמה החדשה:

   sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh new_password

   הפקודה הזו מחזירה סיסמה מוצפנת. הסיסמה המוצפנת מתחילה אחרי ":" ולא כולל את ":"; לדוגמה, הסיסמה המוצפנת עבור "apigee1234" היא:

   Encrypted string:WheaR8U4OeMEM11erxA3Cw==

6. מעדכנים את הצומת של שרת הניהול בסיסמאות המוצפנות החדשות של "postgres" ו-'apigee' משתמשים.
   1. בשרת הניהול, משנים את הספרייה ל- /opt/apigee/customer/application
   2. עורכים את הקובץ management-server.properties כדי להגדיר את המאפיינים הבאים. אם הקובץ הזה לא קיים, יוצרים אותו.
   3. צריך לוודא שהקובץ נמצא בבעלות 'apigee' user:

      chown apigee:apigee management-server.properties

7. עדכון כל הצמתים של שרת Postgres ו-Qpid Server באמצעות הסיסמה המוצפנת החדשה.
   1. בצומת Postgres Server או Qpid Server, משנים את הספרייה הבאה:

      /opt/apigee/customer/application

   2. פותחים את הקבצים הבאים לעריכה:
      • postgres-server.properties
      • qpid-server.properties

      אם הקבצים האלה לא קיימים, יוצרים אותם.

   3. מוסיפים לקבצים את המאפיינים הבאים:
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
   4. יש לוודא שהקבצים הם בבעלות 'apigee' user:

      chown apigee:apigee postgres-server.properties
      chown apigee:apigee qpid-server.properties

8. לעדכן את רכיב ה-SSO (אם האפשרות SSO מופעלת):

   1. צריך להתחבר לצומת שבו נמצא הרכיב apigee-sso או להתחבר לצומת הזה ריצה. הוא נקרא גם שרת SSO.

      בהתקנות AIO או 3 צמתים, הצומת הזה הוא אותו הצומת של ה-Management שרת.

      אם יש לך מספר צמתים שמריצים את הרכיב apigee-sso, עליך מבצעים את השלבים האלה בכל צומת.

   2. פותחים את הקובץ הבא לעריכה:

      /opt/apigee/customer/application/sso.properties 

      אם הקובץ לא קיים, יוצרים אותו.

   3. מוסיפים את השורה הבאה לקובץ:

      conf_uaa_database_password=new_password_in_plain_text

      לדוגמה:

      conf_uaa_database_password=apigee1234

   4. מריצים את הפקודה הבאה כדי להחיל את שינויי ההגדרות רכיב apigee-sso:

      /opt/apigee/apigee-service/bin/apigee-service apigee-sso configure

   5. חוזרים על השלבים האלה לכל שרת SSO.
9. תצטרכו להפעיל מחדש את הרכיבים הבאים לפי הסדר הבא:
   1. מסד נתונים של PostgreSQL:

      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart

   2. שרת Qpid:

      /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart

   3. שרת Postgres:

      /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart

   4. שרת ניהול:

      /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

   5. שרת SSO:

      /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart