Edge şifrelerini sıfırlama

Edge for Private Cloud 4.19.01 sürümü

Yükleme işlemini tamamladıktan sonra aşağıdaki şifreleri sıfırlayabilirsiniz:

Bu şifrelerin her birini sıfırlamaya ilişkin talimatlar sonraki bölümlerde sağlanmıştır.

OpenLDAP şifresini sıfırlayın

OpenLDAP şifresini sıfırlama yöntemi yapılandırmanıza bağlıdır. OpenLDAP, Edge yapılandırmanıza bağlı olarak şu şekilde yüklenebilir:

  • Yönetim Sunucusu düğümünde yüklü tek bir OpenLDAP örneği. Örneğin, 2 düğümlü, 5 düğümlü veya 9 düğümlü Edge yapılandırmasında.
  • Yönetim Sunucusu düğümlerine yüklenmiş ve OpenLDAP replikasıyla yapılandırılmış birden fazla OpenLDAP örneği. Örneğin, 12 düğümlü Edge yapılandırmasında.
  • Kendi düğümlerine yüklenmiş ve OpenLDAP replikasıyla yapılandırılmış birden çok OpenLDAP örneği. Örneğin, 13 düğümlü Edge yapılandırmasında.

Yönetim Sunucusu'nda yüklü tek bir OpenLDAP örneği için aşağıdakileri gerçekleştirin:

  1. Yönetim Sunucusu düğümünde yeni OpenLDAP şifresini oluşturmak için aşağıdaki komutu çalıştırın:
    /opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap 
      change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
  2. Yönetim Sunucusu tarafından erişilecek yeni şifreyi depolamak için aşağıdaki komutu çalıştırın:
    /opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server 
      store_ldap_credentials ‑p NEW_PASSWORD

    Bu komut, Yönetim Sunucusu'nu yeniden başlatır.

Yönetim Sunucusu düğümlerinde OpenLDAP yüklü şekilde bir OpenLDAP çoğaltma kurulumunda, şifreyi güncellemek için her iki Yönetim Sunucusu düğümünde de yukarıdaki adımları uygulayın.

OpenLDAP'nin Yönetim Sunucusu dışında bir düğümde olduğu bir OpenLDAP çoğaltma kurulumunda, önce şifreyi her iki OpenLDAP düğümünde, ardından her iki Yönetim Sunucusu düğümünde değiştirdiğinizden emin olun.

Sistem yöneticisi şifresini sıfırlayın

Sistem yöneticisi şifresini sıfırlamak için şifreyi iki yerde sıfırlamanız gerekir:

  • Yönetim Sunucusu
  • kullanıcı arayüzü

Sistem yöneticisi şifresini sıfırlamak için:

  1. Aşağıdaki özellikleri ayarlamak için Edge kullanıcı arayüzünü yüklemek için kullandığınız sessiz yapılandırma dosyasını düzenleyin:
    APIGEE_ADMINPW=NEW_PASSWORD
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

    Kullanıcı arayüzündeki tüm özellikler sıfırlandığından, yeni şifreyi aktarırken SMTP özelliklerini eklemeniz gerektiğini unutmayın.

  2. Kullanıcı arayüzü düğümünde Edge kullanıcı arayüzünü durdurun:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  3. Şifreyi yapılandırma dosyasından Edge kullanıcı arayüzünde sıfırlamak için apigee-setup yardımcı programını kullanın:
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  4. (Yalnızca kullanıcı arayüzünde TLS etkinse) Yönetim kullanıcı arayüzü için TLS'yi yapılandırma bölümünde açıklandığı gibi, uç kullanıcı arayüzünde TLS'yi yeniden etkinleştirin.
  5. Yönetim Sunucusu'nda yeni bir XML dosyası oluşturun. Bu dosyada kullanıcı kimliğini "admin" olarak ayarlayın ve şu biçimi kullanarak şifreyi, adı, soyadını ve e-posta adresini tanımlayın:
    <User id="admin">
      <Password><![CDATA[password]]></Password>
      <FirstName>first_name</FirstName>
      <LastName>last_name</LastName>
      <EmailId>email_address</EmailId>
    </User>
  6. Yönetim Sunucusu'nda aşağıdaki komutu yürütün:
    curl ‑u "admin_email_address:admin_password" ‑H \ 
      "Content‑Type: application/xml" ‑H "Accept: application/json" ‑X POST \ 
      "http://localhost:8080/v1/users/admin_email_address" ‑d @your_data_file

    Burada your_data_file, önceki adımda oluşturduğunuz dosyadır.

    Edge, Yönetim Sunucusu'nda yönetici şifrenizi günceller.

  7. Oluşturduğunuz XML dosyasını silin. Şifreler hiçbir zaman kalıcı metin olarak depolanmamalıdır.

Birden çok Yönetim Sunucusu bulunan bir OpenLDAP replikası ortamında, bir Yönetim Sunucusu'nda şifre sıfırlandığında diğer Yönetim Sunucusu otomatik olarak güncellenir. Ancak tüm Edge kullanıcı arayüzü düğümlerini ayrı olarak güncellemeniz gerekir.

Kuruluş kullanıcı şifresini sıfırlama

Kuruluştaki bir kullanıcının şifresini sıfırlamak için aşağıdaki örnekte gösterildiği gibi apigee-servce yardımcı programını kullanarak apigee-setup yöntemini çağırın:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
  [-h]
  [-u USER_EMAIL]
  [-p USER_PWD]
  [-a ADMIN_EMAIL]
  [-P APIGEE_ADMINPW]
  [-f configFile]

Örneğin:

/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password 
  ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md 
  ~/Documents/utilities/README.md

Aşağıda, "-f" seçeneğiyle kullanabileceğiniz bir yapılandırma dosyası örneği gösterilmektedir:

USER_NAME=user@myCo.com
USER_PWD="Foo12345"
APIGEE_ADMINPW=ADMIN_PASSWORD

Kullanıcı şifresini değiştirmek için Update user API'yi de kullanabilirsiniz.

SysAdmin ve kuruluş kullanıcı şifresi kuralları

API yönetimi kullanıcılarınız için istenen düzeyde şifre uzunluğu ve gücü kullanımını zorunlu kılmak üzere bu bölümü kullanın. Ayarlar, şifre içeriğini (büyük harf, küçük harf, sayılar ve özel karakterler gibi) kontrol etmek için önceden yapılandırılmış (ve benzersiz şekilde numaralandırılmış) bir dizi normal ifade kullanır. Bu ayarları /opt/apigee/customer/application/management-server.properties dosyasına yazın. Böyle bir dosya yoksa oluşturun.

management-server.properties öğesini düzenledikten sonra yönetim sunucusunu yeniden başlatın:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Ardından farklı normal ifade kombinasyonlarını gruplandırarak şifre gücü derecelendirmeleri belirleyebilirsiniz. Örneğin, en az bir büyük ve bir küçük harf içeren bir şifrenin güç derecesinin "3", en az bir küçük harf ve bir rakam içeren bir şifrenin güç derecesi "4" olduğunu belirleyebilirsiniz.

Özellik Açıklama
conf_security_password.validation.minimum.password.length=8
conf_security_password.validation.default.rating=2
conf_security_password.validation.minimum.rating.required=3

Geçerli şifrelerin genel özelliklerini belirlemek için bunları kullanın. Şifre gücü için varsayılan minimum derecelendirme (tablonun ilerleyen kısımlarında açıklanmıştır) 3'tür.

Password.validation.default.rating=2, gerekli minimum derecelendirmeden daha düşük olduğundan, girilen bir şifre yapılandırdığınız kuralların dışında kalırsa şifre 2 olarak derecelendirilir ve bu nedenle geçersiz (minimum 3 derecenin altındadır) anlamına gelir.

Şifre özelliklerini tanımlayan normal ifadeler aşağıda verilmiştir. Her birinin numaralandırılmış olduğunu unutmayın. Örneğin password.validation.regex.5=..., 5. ifadedir. Bu numaraları, genel şifre gücünü belirleyen farklı kombinasyonlar ayarlamak için dosyanın sonraki bölümlerinde kullanacaksınız.

conf_security_password.validation.regex.1=^(.)\\1+$

1: Tüm karakterler tekrar eder

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2: En az bir küçük harf

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3: En az bir büyük harf

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4: En az bir hane

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5: En az bir özel karakter (alt çizgi _ hariç)

conf_security_password.validation.regex.6=^.*[_]+.*$

6: En az bir alt çizgi

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7: Birden fazla küçük harf

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8: Birden fazla büyük harf

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9: Birden fazla basamak

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10: Birden fazla özel karakter (alt çizgi hariç)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11: Birden fazla alt çizgi

Aşağıdaki kurallar, şifre gücünü şifre içeriğine göre belirler. Her kural, önceki bölümden bir veya daha fazla normal ifade içerir ve buna sayısal bir güç atar. Şifrenin sayısal gücü, şifrenin geçerli olup olmadığını belirlemek için bu dosyanın üstündeki conf_security_password.validation.minimum.rating.required sayıyla karşılaştırılır.

conf_security_password.validation.rule.1=1,AND,0
conf_security_password.validation.rule.2=2,3,4,AND,4
conf_security_password.validation.rule.3=2,9,AND,4
conf_security_password.validation.rule.4=3,9,AND,4
conf_security_password.validation.rule.5=5,6,OR,4
conf_security_password.validation.rule.6=3,2,AND,3
conf_security_password.validation.rule.7=2,9,AND,3
conf_security_password.validation.rule.8=3,9,AND,3

Her kural numaralandırılır. Örneğin, password.validation.rule.3=..., 3. kuraldır.

Her kural aşağıdaki biçimi kullanır (eşittir işaretinin sağında):

regex-index-list,[AND|OR],rating

regex-index-list, AND|OR operatörüyle (yani listelenen ifadelerin tümünü veya herhangi birini dikkate almak) birlikte normal ifadelerin (önceki bölümde bulunan sayıya göre) listesidir.

rating, her kurala verilen sayısal güç derecesidir.

Örneğin, 5. kural, en az bir özel karakter VEYA bir alt çizgi içeren her şifrenin 4 güvenlik derecesi alacağı anlamına gelir. Dosyanın üst kısmındaki password.validation.minimum.rating.required=3 ile 4 dereceli bir şifre geçerlidir.

conf_security_rbac.password.validation.enabled=true

Tek oturum açma (TOA) etkinleştirildiğinde rol tabanlı erişim denetimi şifre doğrulamasını "false" (yanlış) değerine ayarlayın. Varsayılan değer, doğru değeridir.

Cassandra şifresini sıfırlayın

Varsayılan olarak Cassandra, kimlik doğrulama devre dışı olarak gönderilir. Kimlik doğrulamayı etkinleştirirseniz "cassandra" şifresine sahip "cassandra" adında, önceden tanımlanmış bir kullanıcı kullanılır. Bu hesabı kullanabilir, bu hesap için farklı bir şifre ayarlayabilir veya yeni bir Cassandra kullanıcısı oluşturabilirsiniz. Cassandra CREATE/ALTER/DROP USER ifadelerini kullanarak kullanıcı ekleyin, kaldırın ve değiştirin.

Cassandra kimlik doğrulamasının nasıl etkinleştirileceği hakkında bilgi edinmek için Cassandra kimlik doğrulamasını etkinleştirme başlıklı makaleye bakın.

Cassandra şifresini sıfırlamak için:

  • Herhangi bir Cassandra düğümünde şifre ayarlanırsa halkadaki tüm Cassandra düğümlerine yayınlanır
  • Her düğümdeki Yönetim Sunucusu, Mesaj İşlemcileri, Yönlendiriciler, Qpid sunucuları ve Postgres sunucularını yeni şifreyle güncelleyin

Daha fazla bilgi için http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html adresine bakın.

Cassandra şifresini sıfırlamak için:

  1. cqlsh aracını ve varsayılan kimlik bilgilerini kullanarak herhangi bir Cassandra düğümüne giriş yapın. Şifreyi yalnızca bir Cassandra düğümünde değiştirmeniz yeterlidir. Şifre, halkadaki tüm Cassandra düğümlerine yayınlanır:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Burada:

    • cassIP, Cassandra düğümünün IP adresidir.
    • 9042, Cassandra bağlantı noktasıdır.
    • Varsayılan kullanıcı: cassandra.
    • Varsayılan şifre cassandra. Şifreyi daha önce değiştirdiyseniz mevcut şifreyi kullanın.
  2. Şifreyi güncellemek için cqlsh> istemi olarak aşağıdaki komutu çalıştırın:
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Yeni şifrede tek tırnak karakteri varsa başına tek tırnak karakteri ekleyerek bu karakteri kod dışı bırakın.

  3. cqlsh aracından çıkın:
    exit
  4. Yönetim Sunucusu düğümünde aşağıdaki komutu çalıştırın:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p CASS_PASSWORD

    İsteğe bağlı olarak, yeni kullanıcı adını ve şifreyi içeren komuta bir dosya aktarabilirsiniz:

    apigee-service edge-management-server store_cassandra_credentials -f configFile

    configFile şunları içerir:

    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD=CASS_PASSWROD

    Bu komut, Yönetim Sunucusu'nu otomatik olarak yeniden başlatır.

  5. 4. adımı tekrar edin:
    • Tüm Mesaj İşleyicileri
    • Tüm Yönlendiriciler
    • Tüm Qpid sunucuları (edge-qpid-server)
    • Postgres sunucuları (edge-postgres-server)

Cassandra şifresi değişti.

PostgreSQL şifresini sıfırlayın

PostgreSQL veritabanında varsayılan olarak tanımlanmış iki kullanıcı bulunur: "postgres" ve "Apigee". Her iki kullanıcı da varsayılan şifresi "postgres" olsun. Varsayılan şifreyi değiştirmek için aşağıdaki prosedürü kullanın.

Tüm Postgres ana düğümlerinde şifreyi değiştirin. Ana/bekleme modunda yapılandırılmış iki Postgres sunucunuz varsa yalnızca ana düğümdeki Şifreyi değiştirmeniz gerekir. Daha fazla bilgi için Postgres için Master-Standby Çoğaltma'yı kurma bölümüne bakın.

  1. Ana Postgres düğümünde dizinleri /opt/apigee/apigee-postgresql/pgsql/bin olarak değiştirin.
  2. PostgreSQL "postgres" kullanıcı şifresini ayarlayın:
    1. PostgreSQL veritabanına şu komutu kullanarak giriş yapın:
      psql -h localhost -d apigee -U postgres
    2. İstendiğinde mevcut "postgres" kullanıcı şifresini "postgres" olarak girin.
    3. Varsayılan şifreyi değiştirmek için PostgreSQL komut isteminde aşağıdaki komutu girin:
      ALTER USER postgres WITH PASSWORD 'new_password';

      PostgreSQL başarılı olduğunda aşağıdaki şekilde yanıt verir:

      ALTER ROLE
    4. Aşağıdaki komutu kullanarak PostgreSQL veritabanından çıkın:
      \q
  3. PostgreSQL "Apigee" kullanıcı şifresini ayarlayın:
    1. PostgreSQL veritabanına şu komutu kullanarak giriş yapın:
      psql -h localhost -d apigee -U apigee
    2. İstendiğinde "Apigee" kullanıcı şifresini "postgres" olarak girin.
    3. Varsayılan şifreyi değiştirmek için PostgreSQL komut isteminde aşağıdaki komutu girin:
      ALTER USER apigee WITH PASSWORD 'new_password';
    4. Şu komutu kullanarak PostgreSQL veritabanından çıkın:
      \q

    "postgres" ve "Apigee" kullanıcılarının şifrelerini aynı değere veya farklı değerlere ayarlayabilirsiniz.

  4. APIGEE_HOME Grubu:
    export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Yeni şifreyi şifreleyin:
    sh /opt/apigee/edge-postgres-server/utils/scripts/utilities/passwordgen.sh new_password

    Bu komut, şifrelenmiş bir şifre döndürür. Şifrelenmiş şifre, ":" karakterinden sonra başlar ve ":" içermez. Örneğin, "Apigee1234" için şifrelenmiş şifre:

    Encrypted string:WheaR8U4OeMEM11erxA3Cw==
  6. Yönetim Sunucusu düğümünü "postgres" ve "Apigee" kullanıcıları için yeni şifrelenmiş şifrelerle güncelleyin.
    1. Yönetim Sunucusu'nda dizini /opt/apigee/customer/application olarak değiştirin.
    2. Aşağıdaki özellikleri ayarlamak için management-server.properties dosyasını düzenleyin. Bu dosya yoksa oluşturun.
    3. Dosyanın sahibi "Apigee" kullanıcısı olduğundan emin olun:
      chown apigee:apigee management-server.properties
  7. Tüm Postgres Server ve Qpid Server düğümlerini yeni şifrelenmiş şifreyle güncelleyin.
    1. Postgres Server veya Qpid Server düğümünde aşağıdaki dizine geçin:
      /opt/apigee/customer/application
    2. Aşağıdaki dosyaları düzenlemek için açın:
      • postgres-server.properties
      • qpid-server.properties

      Bu dosyalar yoksa oluşturun.

    3. Dosyalara aşağıdaki özellikleri ekleyin:
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Dosyaların "Apigee" kullanıcısına ait olduğundan emin olun:
      chown apigee:apigee postgres-server.properties
      chown apigee:apigee qpid-server.properties
  8. TOA bileşenini güncelleyin (TOA etkinse):
    1. apigee-sso bileşeninin çalıştığı düğüme bağlanın veya düğüme giriş yapın. Bu sunucu, TOA sunucusu olarak da adlandırılır.

      AIO veya 3 düğüm yüklemelerinde bu düğüm, Yönetim Sunucusu ile aynı düğümdür.

      apigee-sso bileşenini çalıştıran birden fazla düğümünüz varsa bu adımları her bir düğümde uygulamanız gerekir.

    2. Şu dosyayı düzenlemek için açın:
      /opt/apigee/customer/application/sso.properties 

      Dosya yoksa oluşturun.

    3. Dosyaya şu satırı ekleyin:
      conf_uaa_database_password=new_password_in_plain_text

      Örneğin:

      conf_uaa_database_password=apigee1234
    4. Yapılandırma değişikliklerinizi apigee-sso bileşenine uygulamak için aşağıdaki komutu yürütün:
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
    5. Her TOA sunucusu için bu adımları tekrarlayın.
  9. Aşağıdaki bileşenleri sırasıyla yeniden başlatın:
    1. PostgreSQL veritabanı:
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Qpid Sunucusu:
      /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Postgres Sunucusu:
      /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Yönetim Sunucusu:
      /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    5. TOA sunucusu:
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart