Сбросить пароли Edge, Сбросить пароли Edge

Edge для частного облака v4.19.01

После завершения установки вы можете сбросить следующие пароли:

Инструкции по сбросу каждого из этих паролей включены в последующие разделы.

Сбросить пароль OpenLDAP

Способ сброса пароля OpenLDAP зависит от вашей конфигурации. В зависимости от конфигурации Edge OpenLDAP можно установить следующим образом:

  • Один экземпляр OpenLDAP, установленный на узле Сервера управления. Например, в конфигурации Edge с 2, 5 или 9 узлами.
  • Несколько экземпляров OpenLDAP, установленных на узлах Management Server, настроенных с использованием репликации OpenLDAP. Например, в конфигурации Edge с 12 узлами.
  • Несколько экземпляров OpenLDAP, установленных на отдельных узлах, настроенных с использованием репликации OpenLDAP. Например, в конфигурации Edge с 13 узлами.

Для одного экземпляра OpenLDAP, установленного на Сервере управления, выполните следующие действия:

  1. На узле Management Server выполните следующую команду, чтобы создать новый пароль OpenLDAP: 
    /opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap 
  change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
  2. Выполните следующую команду, чтобы сохранить новый пароль для доступа к серверу управления: 
    /opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server 
  store_ldap_credentials ‑p NEW_PASSWORD

    Эта команда перезапускает Сервер управления.

В настройке репликации OpenLDAP, когда OpenLDAP установлен на узлах сервера управления , выполните указанные выше действия на обоих узлах сервера управления, чтобы обновить пароль.

При настройке репликации OpenLDAP, когда OpenLDAP находится на узле, отличном от Сервера управления , убедитесь, что вы сначала изменили пароль на обоих узлах OpenLDAP, а затем на обоих узлах Сервера управления.

Сбросить пароль системного администратора

Для сброса пароля системного администратора необходимо сбросить пароль в двух местах:

  • Сервер управления
  • пользовательский интерфейс

Чтобы сбросить пароль системного администратора:

  1. Отредактируйте автоматический файл конфигурации, который вы использовали для установки пользовательского интерфейса Edge, чтобы установить следующие свойства: 
    APIGEE_ADMINPW=NEW_PASSWORD
SMTPHOST=smtp.gmail.com
SMTPPORT=465
SMTPUSER=foo@gmail.com
SMTPPASSWORD=bar
SMTPSSL=y
SMTPMAILFROM="My Company <myco@company.com>"

    Обратите внимание, что вам необходимо включить свойства SMTP при передаче нового пароля, поскольку все свойства пользовательского интерфейса сбрасываются.

  2. На узле пользовательского интерфейса остановите пользовательский интерфейс Edge: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  3. Используйте утилиту apigee-setup для сброса пароля в пользовательском интерфейсе Edge из файла конфигурации: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  4. (Только если TLS включен в пользовательском интерфейсе) Повторно включите TLS в пользовательском интерфейсе Edge, как описано в разделе Настройка TLS для пользовательского интерфейса управления .
  5. На сервере управления создайте новый XML-файл. В этом файле установите идентификатор пользователя «admin» и определите пароль, имя, фамилию и адрес электронной почты, используя следующий формат: 
    <User id="admin">
  <Password><![CDATA[password]]></Password>
  <FirstName>first_name</FirstName>
  <LastName>last_name</LastName>
  <EmailId>email_address</EmailId>
</User>
  6. На сервере управления выполните следующую команду: 
    curl ‑u "admin_email_address:admin_password" ‑H \ 
  "Content‑Type: application/xml" ‑H "Accept: application/json" ‑X POST \ 
  "http://localhost:8080/v1/users/admin_email_address" ‑d @your_data_file

    Где your_data_file — это файл, который вы создали на предыдущем шаге.

    Edge обновляет ваш пароль администратора на сервере управления.

  7. Удалите созданный XML-файл. Пароли никогда не должны храниться постоянно в виде открытого текста.

В среде репликации OpenLDAP с несколькими серверами управления сброс пароля на одном сервере управления автоматически обновляет другой сервер управления. Однако вам придется обновить все узлы Edge UI отдельно.

Сбросить пароль пользователя организации

Чтобы сбросить пароль для пользователя организации, используйте утилиту apigee-servce для вызова apigee-setup , как показано в следующем примере:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
  [-h]
  [-u USER_EMAIL]
  [-p USER_PWD]
  [-a ADMIN_EMAIL]
  [-P APIGEE_ADMINPW]
  [-f configFile]

Например:

/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password 
  ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md 
  ~/Documents/utilities/README.md

Ниже показан пример файла конфигурации, который можно использовать с опцией «-f»:

USER_NAME=user@myCo.com
USER_PWD="Foo12345"
APIGEE_ADMINPW=ADMIN_PASSWORD

Вы также можете использовать API обновления пользователя , чтобы изменить пароль пользователя.

Правила паролей пользователей системного администратора и организации

Используйте этот раздел, чтобы обеспечить желаемый уровень длины и надежности пароля для пользователей управления API. В настройках используется ряд предварительно настроенных (и уникально пронумерованных) регулярных выражений для проверки содержимого пароля (например, прописные и строчные буквы, цифры и специальные символы). Запишите эти настройки в файл /opt/apigee/customer/application/management-server.properties . Если этот файл не существует, создайте его.

После редактирования management-server.properties перезапустите сервер управления:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Затем вы можете установить рейтинг надежности пароля, группируя различные комбинации регулярных выражений. Например, вы можете определить, что пароль, содержащий хотя бы одну заглавную и одну строчную букву, получает рейтинг надежности «3», а пароль, содержащий хотя бы одну строчную букву и одну цифру, получает более высокий рейтинг «4».

Свойство Описание
conf_security_password.validation.minimum.password.length=8
conf_security_password.validation.default.rating=2
conf_security_password.validation.minimum.rating.required=3

Используйте их для определения общих характеристик действительных паролей. Минимальный рейтинг надежности пароля по умолчанию (описанный ниже в таблице) равен 3.

Обратите внимание, что пароль.validation.default.rating=2 ниже требуемого минимального рейтинга. Это означает, что если введенный пароль выходит за рамки настроенных вами правил, паролю присваивается рейтинг 2 и, следовательно, он недействителен (ниже минимального рейтинга). из 3).

Ниже приведены регулярные выражения, определяющие характеристики пароля. Обратите внимание, что каждый из них пронумерован. Например, password.validation.regex. 5 =... — это номер выражения 5. Вы будете использовать эти числа в следующем разделе файла для установки различных комбинаций, определяющих общую надежность пароля.

conf_security_password.validation.regex.1=^(.)\\1+$

1: Все символы повторяются.

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2: хотя бы одна строчная буква

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3: хотя бы одна заглавная буква.

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4: хотя бы одна цифра

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5: хотя бы один специальный символ (не включая подчеркивание _).

conf_security_password.validation.regex.6=^.*[_]+.*$

6: хотя бы одно подчеркивание

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7: Более одной строчной буквы

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8: более одной заглавной буквы

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9: более одной цифры

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10: более одного специального символа (не включая подчеркивание).

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11: более одного подчеркивания

Следующие правила определяют надежность пароля на основе его содержимого. Каждое правило включает одно или несколько регулярных выражений из предыдущего раздела и присваивает ему числовой уровень. Числовая надежность пароля сравнивается с числом conf_security_password.validation.minimum.rating.required в верхней части этого файла, чтобы определить, действителен ли пароль.

conf_security_password.validation.rule.1=1,AND,0
conf_security_password.validation.rule.2=2,3,4,AND,4
conf_security_password.validation.rule.3=2,9,AND,4
conf_security_password.validation.rule.4=3,9,AND,4
conf_security_password.validation.rule.5=5,6,OR,4
conf_security_password.validation.rule.6=3,2,AND,3
conf_security_password.validation.rule.7=2,9,AND,3
conf_security_password.validation.rule.8=3,9,AND,3

Каждое правило пронумеровано. Например, password.validation.rule. 3 =... — правило номер 3.

Каждое правило использует следующий формат (справа от знака равенства):

regex-index-list,[AND|OR],rating

regex-index-list — это список регулярных выражений (по номерам из предыдущего раздела) вместе с оператором AND|OR (то есть учитывать все или любое из перечисленных выражений).

rating — это числовой рейтинг силы, присваиваемый каждому правилу.

Например, правило 5 означает, что любой пароль, содержащий хотя бы один специальный символ ИЛИ одно подчеркивание, получает рейтинг надежности 4. Если password.validation.minimum.rating.required=3 в верхней части файла, пароль с рейтингом 4 действует.

conf_security_rbac.password.validation.enabled=true

Установите для проверки пароля управления доступом на основе ролей значение false, если включен единый вход (SSO). По умолчанию верно.

Сбросить пароль Кассандры

По умолчанию Cassandra поставляется с отключенной аутентификацией. Если вы включите аутентификацию, он будет использовать предопределенного пользователя с именем «cassandra» и паролем «cassandra». Вы можете использовать эту учетную запись, установить для нее другой пароль или создать нового пользователя Cassandra. Добавляйте, удаляйте и изменяйте пользователей с помощью операторов Cassandra CREATE/ALTER/DROP USER .

Информацию о том, как включить аутентификацию Cassandra, см. в разделе Включение аутентификации Cassandra .

Чтобы сбросить пароль Кассандры, необходимо:

  • Установите пароль на любом узле Cassandra, и он будет передан на все узлы Cassandra в кольце.
  • Обновите сервер управления, процессоры сообщений, маршрутизаторы, серверы Qpid и серверы Postgres на каждом узле, используя новый пароль.

Для получения дополнительной информации см. http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html .

Чтобы сбросить пароль Кассандры:

  1. Войдите в любой узел Cassandra, используя инструмент cqlsh и учетные данные по умолчанию. Вам нужно изменить пароль только на одном узле Cassandra, и он будет передан на все узлы Cassandra в кольце: 
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Где:

    • cassIP — IP-адрес узла Cassandra.
    • 9042 — порт Кассандра.
    • Пользователь по умолчанию — cassandra .
    • Пароль по умолчанию — cassandra . Если вы ранее меняли пароль, используйте текущий пароль.
  2. Запустите следующую команду в качестве приглашения cqlsh> , чтобы обновить пароль: 
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Если новый пароль содержит одинарную кавычку, экранируйте его, поставив перед ним одинарную кавычку.

  3. Выйдите из инструмента cqlsh : 
    exit
  4. На узле Сервер управления выполните следующую команду: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    При желании вы можете передать команде файл, содержащий новое имя пользователя и пароль: 

    apigee-service edge-management-server store_cassandra_credentials -f configFile

    Где configFile содержит следующее: 

    CASS_USERNAME=CASS_USERNAME
CASS_PASSWORD=CASS_PASSWROD

    Эта команда автоматически перезапускает Сервер управления.

  5. Повторите шаг 4 для:
    • Все процессоры сообщений
    • Все маршрутизаторы
    • Все серверы Qpid (edge-qpid-server)
    • Серверы Postgres (edge-postgres-server)

Пароль Кассандры теперь изменен.

Сбросить пароль PostgreSQL

По умолчанию в базе данных PostgreSQL определены два пользователя: «postgres» и «apigee». Оба пользователя имеют пароль по умолчанию «postgres». Используйте следующую процедуру, чтобы изменить пароль по умолчанию.

Измените пароль на всех главных узлах Postgres. Если у вас есть два сервера Postgres, настроенные в режиме главный/резервный, вам нужно изменить пароль только на главном узле. Дополнительную информацию см. в разделе Настройка репликации Master-Standby для Postgres .

  1. На узле Master Postgres измените каталог на /opt/apigee/apigee-postgresql/pgsql/bin .
  2. Установите пароль пользователя PostgreSQL «postgres»:
    1. Войдите в базу данных PostgreSQL с помощью команды: 
      psql -h localhost -d apigee -U postgres
    2. При появлении запроса введите существующий пароль пользователя «postgres» как «postgres».
    3. В командной строке PostgreSQL введите следующую команду, чтобы изменить пароль по умолчанию: 
      ALTER USER postgres WITH PASSWORD 'new_password';

      В случае успеха PostgreSQL отвечает следующим образом:

      ALTER ROLE
    4. Выйдите из базы данных PostgreSQL, используя следующую команду: 
      \q
  3. Установите пароль пользователя PostgreSQL «apigee»:
    1. Войдите в базу данных PostgreSQL с помощью команды: 
      psql -h localhost -d apigee -U apigee
    2. При появлении запроса введите пароль пользователя «apigee» как «postgres».
    3. В командной строке PostgreSQL введите следующую команду, чтобы изменить пароль по умолчанию: 
      ALTER USER apigee WITH PASSWORD 'new_password';
    4. Выйдите из базы данных PostgreSQL с помощью команды: 
      \q

    Вы можете установить для паролей пользователей «postgres» и «apigee» одно и то же значение или разные значения.

  4. Установите APIGEE_HOME : 
    export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Зашифруйте новый пароль: 
    sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh new_password

    Эта команда возвращает зашифрованный пароль. Зашифрованный пароль начинается после символа «:» и не включает символ «:»; например, зашифрованный пароль для «apigee1234»:

    Encrypted string:WheaR8U4OeMEM11erxA3Cw==
  6. Обновите узел сервера управления, добавив новые зашифрованные пароли для пользователей postgres и apigee.
    1. На сервере управления измените каталог на /opt/apigee/customer/application .
    2. Отредактируйте файл management-server.properties , чтобы установить следующие свойства. Если этот файл не существует, создайте его.
    3. Убедитесь, что файл принадлежит пользователю «apigee»: 
      chown apigee:apigee management-server.properties
  7. Обновите все узлы Postgres Server и Qpid Server, используя новый зашифрованный пароль.
    1. На узле сервера Postgres или сервера Qpid перейдите в следующий каталог: 
      /opt/apigee/customer/application
    2. Откройте следующие файлы для редактирования:
      • postgres-server.properties
      • qpid-server.properties

      Если эти файлы не существуют, создайте их.

    3. Добавьте в файлы следующие свойства:
      • conf_pg-agent_password= newEncryptedPasswordFor Postgres User
      • conf_pg-ingest_password= newEncryptedPasswordFor Postgres User
      • conf_query-service_pgDefaultPwd= newEncryptedPasswordFor Postgres User
      • conf_query-service_dwDefaultPwd= newEncryptedPasswordFor Postgres User
      • conf_analytics_aries.pg.password= newEncryptedPasswordFor Postgres User
    4. Убедитесь, что файлы принадлежат пользователю «apigee»: 
      chown apigee:apigee postgres-server.properties
chown apigee:apigee qpid-server.properties
  8. Обновите компонент единого входа (если единый вход включен):

    1. Подключитесь к узлу, на котором работает компонент apigee-sso или войдите в него. Его также называют сервером единого входа .

      В установках AIO или с 3 узлами этот узел является тем же узлом, что и Сервер управления.

      Если у вас есть несколько узлов, на которых работает компонент apigee-sso , вам необходимо выполнить эти шаги на каждом узле.

    2. Откройте следующий файл для редактирования: 
      /opt/apigee/customer/application/sso.properties

      Если файл не существует, создайте его.

    3. Добавьте в файл следующую строку: 
      conf_uaa_database_password=new_password_in_plain_text

      Например:

      conf_uaa_database_password=apigee1234
    4. Выполните следующую команду, чтобы применить изменения конфигурации к компоненту apigee-sso : 
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
    5. Повторите эти шаги для каждого сервера SSO.
  9. Перезапустите следующие компоненты в следующем порядке:
    1. База данных PostgreSQL: 
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Сервер Qpid: 
      /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Сервер Postgres: 
      /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Сервер управления: 
      /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    5. Сервер единого входа: 
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart