Edge for Private Cloud w wersji 4.19.01
Po zakończeniu instalacji możesz zresetować następujące hasła:
Instrukcje dotyczące resetowania każdego z tych haseł znajdują się w kolejnych sekcjach.
Zresetuj hasło OpenLDAP
Sposób resetowania hasła OpenLDAP zależy od konfiguracji. W zależności od konfiguracji Edge możesz zainstalować OpenLDAP jako:
- Pojedyncza instancja OpenLDAP zainstalowana w węźle serwera zarządzania. na przykład w konfiguracji brzegowej z 2 węzłami, 5 węzłami lub 9 węzłami.
- Zainstalowano wiele instancji OpenLDAP w węzłach serwera zarządzania skonfigurowanych przy użyciu replikacji OpenLDAP. na przykład w konfiguracji brzegowej z 12 węzłami.
- Wiele instancji OpenLDAP zainstalowanych w własnych węzłach skonfigurowanych przy użyciu replikacji OpenLDAP. na przykład w konfiguracji Edge z 13 węzłami.
W przypadku pojedynczej instancji OpenLDAP zainstalowanej na serwerze zarządzania wykonaj te czynności:
- W węźle serwera zarządzania uruchom następujące polecenie, aby utworzyć nowe hasło OpenLDAP:
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
- Uruchom to polecenie, aby zapisać nowe hasło dostępne dla serwera zarządzania:
/opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server store_ldap_credentials ‑p NEW_PASSWORD
To polecenie uruchamia ponownie serwer zarządzania.
W konfiguracji replikacji OpenLDAP z zainstalowanym OpenLDAP w węzłach serwera zarządzania wykonaj opisane powyżej czynności w obu węzłach serwera zarządzania, aby zaktualizować hasło.
W konfiguracji replikacji OpenLDAP, gdy OpenLDAP znajduje się w węźle innym niż serwer zarządzania, najpierw zmień hasło w obu węzłach OpenLDAP, a następnie w obu węzłach serwera zarządzania.
Zresetuj hasło administratora systemu
Zresetowanie hasła administratora systemu wymaga zresetowania hasła w dwóch miejscach:
- Serwer zarządzania
- Interfejs użytkownika
Aby zresetować hasło administratora systemu:
- Edytuj cichy plik konfiguracyjny użyty do zainstalowania interfejsu Edge do ustawienia tych właściwości:
APIGEE_ADMINPW=NEW_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y SMTPMAILFROM="My Company <myco@company.com>"
Pamiętaj, że podczas przekazywania nowego hasła musisz uwzględnić właściwości SMTP, ponieważ wszystkie właściwości w interfejsie są resetowane.
- W węźle UI zatrzymaj interfejs Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- Użyj narzędzia
apigee-setup
, aby zresetować hasło w interfejsie użytkownika Edge z poziomu pliku konfiguracji:/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Tylko wtedy, gdy protokół TLS jest włączony w interfejsie) Włącz ponownie protokół TLS w interfejsie użytkownika Edge zgodnie z opisem w artykule Konfigurowanie protokołu TLS w interfejsie zarządzania.
- Na serwerze zarządzania utwórz nowy plik XML. W tym pliku ustaw identyfikator użytkownika na „admin” oraz podaj hasło, imię, nazwisko i adres e-mail w tym formacie:
<User id="admin"> <Password><![CDATA[password]]></Password> <FirstName>first_name</FirstName> <LastName>last_name</LastName> <EmailId>email_address</EmailId> </User>
- Na serwerze zarządzania wykonaj to polecenie:
curl ‑u "admin_email_address:admin_password" ‑H \ "Content‑Type: application/xml" ‑H "Accept: application/json" ‑X POST \ "http://localhost:8080/v1/users/admin_email_address" ‑d @your_data_file
Gdzie your_data_file to plik utworzony w poprzednim kroku.
Edge aktualizuje Twoje hasło administratora na serwerze zarządzania.
- Usuń utworzony plik XML. Hasła nie powinny być nigdy przechowywane w postaci zwykłego tekstu.
W środowisku replikacji OpenLDAP z wieloma serwerami zarządzania resetowanie hasła na jednym serwerze zarządzania automatycznie aktualizuje drugi serwer zarządzania. Musisz jednak zaktualizować wszystkie węzły interfejsu Edge osobno.
Resetowanie hasła użytkownika organizacji
Aby zresetować hasło użytkownika organizacji, użyj narzędzia apigee-servce
do wywołania apigee-setup
, jak pokazano w poniższym przykładzie:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
Na przykład:
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md ~/Documents/utilities/README.md
Poniżej znajduje się przykładowy plik konfiguracyjny, którego można użyć z opcją „-f”:
USER_NAME=user@myCo.com USER_PWD="Foo12345" APIGEE_ADMINPW=ADMIN_PASSWORD
Hasło użytkownika możesz też zmienić za pomocą interfejsu API Update user.
SysAdmin i reguły haseł użytkowników w organizacji
W tej sekcji możesz wymusić stosowanie wybranej długości i siły haseł w przypadku użytkowników zarządzających interfejsami API. Ustawienia korzystają z serii wstępnie skonfigurowanych (i jednoznacznie numerowanych) wyrażeń regularnych do sprawdzania treści hasła (np. wielkich liter, małych liter, cyfr i znaków specjalnych). Zapisz te ustawienia w pliku /opt/apigee/customer/application/management-server.properties
. Jeśli taki plik nie istnieje, utwórz go.
Po wprowadzeniu zmian w dokumencie management-server.properties
ponownie uruchom serwer zarządzania:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Następnie możesz ustawić oceny siły haseł, grupując różne kombinacje wyrażeń regularnych. Możesz na przykład ustalić, że hasło zawierające co najmniej 1 wielką i małą literę otrzyma ocenę siły „3”, a hasło z co najmniej 1 małą literą i 1 cyfrą otrzyma silniejszą ocenę „4”.
Właściwość | Opis |
---|---|
conf_security_password.validation.minimum.password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum.rating.required=3 |
Za ich pomocą możesz określić ogólne cechy prawidłowych haseł. Domyślna minimalna ocena siły hasła (opisana w dalszej części tabeli) to 3. Zauważ, że wartość parametru passwords.validation.default.rating=2 jest niższa od wymaganej minimalnej oceny. Oznacza to, że jeśli podane hasło wykracza poza skonfigurowane przez Ciebie reguły, otrzymuje ono ocenę 2 i dlatego jest nieprawidłowe (poniżej minimalnej oceny wynoszącej 3). |
Poniżej przedstawiamy wyrażenia regularne określające cechy haseł. Pamiętaj, że każdy z nich jest numerowany. Na przykład |
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1. Wszystkie znaki się powtarzają |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: co najmniej jedna mała litera |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3: co najmniej jedna wielka litera |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: co najmniej jedna cyfra |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: co najmniej 1 znak specjalny (bez podkreślenia _) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: Co najmniej jedno podkreślenie |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7. Więcej niż jedna mała litera |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8: więcej niż jedna wielka litera |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9: więcej niż jedna cyfra |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10: więcej niż 1 znak specjalny (bez podkreślenia) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11: Więcej niż jedno podkreślenie |
Poniższe reguły określają siłę haseł na podstawie ich treści. Każda reguła zawiera co najmniej jedno wyrażenie regularne z poprzedniej sekcji i przypisuje do niej siłę liczbową. Siła liczbowa hasła jest porównywana z wartością conf_security_password.validation.minimum.rating.required u góry tego pliku w celu określenia, czy hasło jest prawidłowe. |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
Każda reguła jest numerowana. Na przykład Reguły mają następujący format (na prawo od znaku równości): regex-index-list,[AND|OR],rating regex-index-list to lista wyrażeń regularnych (według numerów z poprzedniej sekcji) wraz z operatorem rating to liczbowa ocena siły przypisana do każdej reguły. Na przykład reguła 5 oznacza, że każde hasło z co najmniej 1 znakiem specjalnym LUB jednym podkreśleniem ma ocenę siły 4. Jeśli u góry pliku znajduje się |
conf_security_rbac.password.validation.enabled=true |
Gdy włączone jest logowanie jednokrotne (SSO), ustaw weryfikację hasła kontroli dostępu opartej na rolach na fałsz. Wartość domyślna to true (prawda). |
Zresetuj hasło do Cassandra
Domyślnie usługa Cassandra ma wyłączone uwierzytelnianie. Jeśli włączysz uwierzytelnianie, będzie używane wstępnie zdefiniowanego użytkownika o nazwie „cassandra” z hasłem „cassandra”. Możesz użyć tego konta, ustawić do niego inne hasło lub utworzyć nowego użytkownika Cassandra. Do dodawania, usuwania i modyfikowania użytkowników służą instrukcje CREATE/ALTER/DROP USER
Cassandra.
Więcej informacji o włączaniu uwierzytelniania Cassandra znajdziesz w artykule Włączanie uwierzytelniania Cassandra.
Aby zresetować hasło Cassandra, musisz:
- Ustaw hasło w dowolnym węźle Cassandra, a zostanie ono rozpowszechnione do wszystkich węzłów Cassandra w pierścieniu
- Zaktualizuj serwer zarządzania, procesory wiadomości, routery, serwery Qpid i serwery Postgres w każdym węźle, podając nowe hasło
Więcej informacji znajdziesz na stronie http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.
Aby zresetować hasło do Cassandra:
- Zaloguj się w dowolnym węźle Cassandra za pomocą narzędzia
cqlsh
i domyślnych danych logowania. Wystarczy zmienić hasło w 1 węźle Cassandra. Zostanie ono rozesłane do wszystkich węzłów Cassandra w pierścieniu:/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra
Gdzie:
cassIP
to adres IP węzła Cassandra.9042
to port Cassandra.- Domyślnym użytkownikiem jest
cassandra
. - Domyślne hasło to
cassandra
. Jeśli hasło zostało wcześniej zmienione, użyj obecnego hasła.
- Aby zaktualizować hasło, uruchom to polecenie w wierszu
cqlsh>
:ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
Jeśli nowe hasło zawiera pojedynczy znak cudzysłowu, zmień jego znaczenie, poprzedzając je pojedynczym znakiem cudzysłowu.
- Zamknij narzędzie
cqlsh
:exit
- W węźle serwera zarządzania uruchom to polecenie:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD
Opcjonalnie możesz przekazać do polecenia plik zawierający nową nazwę użytkownika i hasło:
apigee-service edge-management-server store_cassandra_credentials -f configFile
Gdzie configFile zawiera te elementy:
CASS_USERNAME=CASS_USERNAME CASS_PASSWORD=CASS_PASSWROD
To polecenie automatycznie ponownie uruchamia serwer zarządzania.
- Powtórz krok 4 podczas:
- Wszystkie procesory wiadomości
- Wszystkie routery
- Wszystkie serwery Qpid (edge-qpid-server)
- Serwery Postgres (edge-postgres-server)
Hasło do Cassandra zostało zmienione.
Zresetuj hasło do PostgreSQL
Domyślnie w bazie danych PostgreSQL są zdefiniowane 2 konta użytkowników: „postgres” i „apigee”. Obaj użytkownicy mają domyślne hasło „postgres”. Aby zmienić hasło domyślne, wykonaj czynności opisane poniżej.
Zmień hasła we wszystkich węzłach głównych Postgres. Jeśli masz 2 serwery Postgres skonfigurowane w trybie głównym/gotowym, musisz zmienić hasło tylko w węźle głównym. Więcej informacji znajdziesz w artykule o konfigurowaniu replikacji master-standby dla Postgres.
- W głównym węźle Postgres zmień katalogi na
/opt/apigee/apigee-postgresql/pgsql/bin
. - Ustaw hasło użytkownika PostgreSQL „postgres”:
- Zaloguj się do bazy danych PostgreSQL przy użyciu polecenia:
psql -h localhost -d apigee -U postgres
- Gdy pojawi się prośba, wpisz obecne hasło użytkownika „postgres” jako „postgres”.
- W wierszu polecenia PostgreSQL wpisz to polecenie, aby zmienić hasło domyślne:
ALTER USER postgres WITH PASSWORD 'new_password';
Po pomyślnym zakończeniu PostgreSQL odpowiada tym treściom:
ALTER ROLE
- Wyjdź z bazy danych PostgreSQL przy użyciu tego polecenia:
\q
- Zaloguj się do bazy danych PostgreSQL przy użyciu polecenia:
- Ustaw hasło użytkownika „apigee” PostgreSQL:
- Zaloguj się do bazy danych PostgreSQL przy użyciu polecenia:
psql -h localhost -d apigee -U apigee
- Gdy pojawi się prośba, wpisz hasło użytkownika „apigee” jako „postgres”.
- W wierszu polecenia PostgreSQL wpisz to polecenie, aby zmienić hasło domyślne:
ALTER USER apigee WITH PASSWORD 'new_password';
- Wyjdź z bazy danych PostgreSQL przy użyciu polecenia:
\q
Hasła użytkowników „postgres” i „apigee” możesz ustawić na tę samą lub różne wartości.
- Zaloguj się do bazy danych PostgreSQL przy użyciu polecenia:
- Ustaw
APIGEE_HOME
:export APIGEE_HOME=/opt/apigee/edge-postgres-server
- Zaszyfruj nowe hasło:
sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh new_password
To polecenie zwraca zaszyfrowane hasło. Zaszyfrowane hasło zaczyna się po znaku „:” i nie zawiera „:”. Na przykład zaszyfrowane hasło do „apigee1234” to:
Encrypted string:WheaR8U4OeMEM11erxA3Cw==
- Zaktualizuj węzeł serwera zarządzania o nowe zaszyfrowane hasła dla użytkowników „postgres” i „apigee”.
- Na serwerze zarządzania zmień katalog na
/opt/apigee/customer/application
. - Edytuj plik
management-server.properties
, aby ustawić te właściwości. Jeśli ten plik nie istnieje, utwórz go. - Upewnij się, że plik należy do użytkownika „apigee”:
chown apigee:apigee management-server.properties
- Na serwerze zarządzania zmień katalog na
- Zaktualizuj wszystkie węzły serwera Postgres i Qpid Server nowym zaszyfrowanym hasłem.
- W węźle serwera Postgres lub serwera Qpid zmień katalog na ten:
/opt/apigee/customer/application
- Otwórz te pliki do edycji:
postgres-server.properties
qpid-server.properties
Jeśli te pliki nie istnieją, utwórz je.
- Dodaj do plików te właściwości:
conf_pg-agent_password=newEncryptedPasswordForPostgresUser
conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- Upewnij się, że pliki należą do użytkownika „apigee”:
chown apigee:apigee postgres-server.properties
chown apigee:apigee qpid-server.properties
- W węźle serwera Postgres lub serwera Qpid zmień katalog na ten:
- Zaktualizuj komponent logowania jednokrotnego (jeśli logowanie jednokrotne jest włączone):
Połącz się z węzłem, na którym działa komponent
apigee-sso
, lub zaloguj się do niego. Jest on też nazywany serwerem logowania jednokrotnego.W instalacjach AIO lub z 3 węzłami ten węzeł jest tym samym węzłem co serwer zarządzania.
Jeśli komponent
apigee-sso
działa w wielu węzłach, musisz wykonać te czynności na każdym z nich.- Otwórz ten plik do edycji:
/opt/apigee/customer/application/sso.properties
Jeśli plik nie istnieje, utwórz go.
- Dodaj do pliku ten wiersz:
conf_uaa_database_password=new_password_in_plain_text
Na przykład:
conf_uaa_database_password=apigee1234
- Wykonaj to polecenie, aby zastosować zmiany konfiguracji do komponentu
apigee-sso
:/opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
- Powtórz te czynności dla każdego serwera SSO.
- Uruchom ponownie te komponenty w tej kolejności:
- Baza danych PostgreSQL:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
- Serwer Qpid:
/opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
- Serwer Postgres:
/opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
- Serwer zarządzania:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Serwer SSO:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart
- Baza danych PostgreSQL: