Une fois l'installation terminée, vous pouvez réinitialiser les mots de passe suivants:
Vous trouverez dans les sections suivantes des instructions pour réinitialiser chacun de ces mots de passe.
Réinitialiser le mot de passe OpenLDAP
La façon dont vous réinitialisez le mot de passe OpenLDAP dépend de votre configuration. Selon votre configuration Edge, OpenLDAP peut être installé comme:
- Une seule instance d'OpenLDAP installée sur le nœud du serveur de gestion. Par exemple, dans une configuration Edge à 2, 5 ou 9 nœuds.
- Plusieurs instances OpenLDAP installées sur les nœuds du serveur de gestion et configurées avec la réplication OpenLDAP. Par exemple, dans une configuration Edge à 12 nœuds.
- Plusieurs instances OpenLDAP installées sur leurs propres nœuds, configurées avec la réplication OpenLDAP. Par exemple, dans une configuration Edge à 13 nœuds.
Pour une instance unique d'OpenLDAP installée sur le serveur de gestion, procédez comme suit:
- Sur le nœud du serveur de gestion, exécutez la commande suivante pour créer le mot de passe OpenLDAP :
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap \ change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
- Exécutez la commande suivante pour stocker le nouveau mot de passe permettant au serveur de gestion d'y accéder :
/opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server \ store_ldap_credentials ‑p NEW_PASSWORD
Cette commande redémarre le serveur de gestion.
Dans une configuration de réplication OpenLDAP avec OpenLDAP installé sur les nœuds du serveur de gestion, suivez les étapes ci-dessus sur les deux nœuds de ce serveur pour mettre à jour le mot de passe.
Dans une configuration de réplication OpenLDAP où OpenLDAP se trouve sur un nœud autre que le serveur de gestion, veillez à modifier d'abord le mot de passe sur les deux nœuds OpenLDAP, puis sur les deux nœuds du serveur de gestion.
Réinitialiser le mot de passe administrateur système
La réinitialisation du mot de passe administrateur système nécessite de le réinitialiser à deux endroits:
- Serveur de gestion
- UI
Pour réinitialiser le mot de passe administrateur système:
- Modifiez le fichier de configuration silencieuse que vous avez utilisé pour installer l'interface utilisateur Edge afin de définir les propriétés suivantes :
APIGEE_ADMINPW=NEW_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y SMTPMAILFROM="My Company <myco@company.com>"
Notez que vous devez inclure les propriétés SMTP lorsque vous transmettez le nouveau mot de passe, car toutes les propriétés de l'interface utilisateur sont réinitialisées.
- Sur le nœud d'interface utilisateur, arrêtez l'interface utilisateur Edge :
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- Utilisez l'utilitaire
apigee-setup
pour réinitialiser le mot de passe dans l'interface utilisateur Edge à partir du fichier de configuration :/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Uniquement si TLS est activé sur l'interface utilisateur) Réactivez TLS dans l'interface utilisateur Edge, comme décrit dans la section Configurer TLS pour l'interface utilisateur de gestion.
- Sur le serveur de gestion, créez un fichier XML. Dans ce fichier, définissez l'ID utilisateur sur "admin", puis définissez le mot de passe, le prénom, le nom et l'adresse e-mail au format suivant :
<User id="admin"> <Password><![CDATA[password]]></Password> <FirstName>first_name</FirstName> <LastName>last_name</LastName> <EmailId>email_address</EmailId> </User>
- Sur le serveur de gestion, exécutez la commande suivante :
curl ‑u "admin_email_address:admin_password" ‑H \ "Content‑Type: application/xml" ‑H "Accept: application/json" ‑X POST \ "http://localhost:8080/v1/users/admin_email_address" ‑d @your_data_file
Où your_data_file est le fichier que vous avez créé à l'étape précédente.
Edge met à jour votre mot de passe administrateur sur le serveur de gestion.
- Supprimez le fichier XML que vous avez créé. Les mots de passe ne doivent jamais être stockés de manière permanente en texte clair.
Dans un environnement de réplication OpenLDAP comportant plusieurs serveurs de gestion, la réinitialisation du mot de passe sur l'un met automatiquement à jour l'autre serveur de gestion. Cependant, vous devez mettre à jour tous les nœuds d'interface utilisateur Edge séparément.
Réinitialiser le mot de passe de l'utilisateur de l'organisation
Pour réinitialiser le mot de passe d'un utilisateur de l'organisation, appelez apigee-setup
à l'aide de l'utilitaire apigee-servce
, comme indiqué dans l'exemple suivant:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
Exemple :
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md ~/Documents/utilities/README.md
Vous trouverez ci-dessous un exemple de fichier de configuration que vous pouvez utiliser avec l'option "-f" :
USER_NAME=user@myCo.com USER_PWD="Foo12345" APIGEE_ADMINPW=ADMIN_PASSWORD
Vous pouvez également utiliser l'API Update user (Mettre à jour l'utilisateur) pour modifier le mot de passe utilisateur.
Règles concernant les mots de passe des utilisateurs de l'organisation et de l'administrateur système
Dans cette section, vous pouvez appliquer le niveau souhaité de longueur et de niveau de sécurité des mots de passe aux utilisateurs de la gestion d'API. Ils utilisent une série d'expressions régulières préconfigurées (et numérotées de manière unique) pour vérifier le contenu des mots de passe (majuscules et minuscules, chiffres et caractères spéciaux, par exemple). Écrivez ces paramètres dans le fichier /opt/apigee/customer/application/management-server.properties
. Si ce fichier n'existe pas, créez-le.
Après avoir modifié management-server.properties
, redémarrez le serveur de gestion:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Vous pouvez ensuite définir le niveau de sécurité du mot de passe en regroupant différentes combinaisons d'expressions régulières. Par exemple, vous pouvez déterminer qu'un mot de passe avec au moins une lettre majuscule et une lettre minuscule est classé "3", mais qu'un mot de passe composé d'au moins une lettre minuscule et d'un chiffre obtient une note plus élevée de "4".
Propriété | Description |
---|---|
conf_security_password.validation.minimum.password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum.rating.required=3 |
Utilisez-les pour déterminer les caractéristiques générales des mots de passe valides. La valeur minimale par défaut du niveau de sécurité du mot de passe (décrit plus loin dans le tableau) est de 3. Notez que mot de passe.validation.default.rating=2 est inférieur à la note minimale requise. Cela signifie que si un mot de passe saisi ne respecte pas les règles que vous avez configurées, il reçoit la note de 2 et n'est donc pas valide (sous la note minimale de 3). |
Vous trouverez ci-dessous des expressions régulières qui identifient les caractéristiques des mots de passe. Notez que chaque élément est numéroté. Par exemple, |
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1: tous les caractères sont répétés |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: au moins une lettre minuscule |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3: Au moins une lettre majuscule |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: au moins un chiffre |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: au moins un caractère spécial (sans trait de soulignement _) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: au moins un trait de soulignement |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7: plusieurs lettres minuscules |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8: Plusieurs lettres majuscules |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9: plusieurs chiffres |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10: plusieurs caractères spéciaux (hors trait de soulignement) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11: plusieurs traits de soulignement |
Les règles suivantes déterminent le niveau de sécurité d'un mot de passe en fonction de son contenu. Chaque règle inclut une ou plusieurs expressions régulières de la section précédente et lui attribue une force numérique. Le niveau numérique d'un mot de passe est comparé à la valeur conf_security_password.validation.minimum.rating.required figurant en haut de ce fichier pour déterminer si un mot de passe est valide ou non. |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
Chaque règle est numérotée. Par exemple, Chaque règle respecte le format suivant (à droite du signe égal): regex-index-list,[AND|OR],rating regex-index-list est la liste d'expressions régulières (indiquées par le nombre indiqué dans la section précédente), avec un opérateur rating correspond au niveau numérique du niveau de sécurité de chaque règle. Par exemple, la règle 5 signifie que tout mot de passe comportant au moins un caractère spécial OU un trait de soulignement obtient une évaluation de force de 4. Avec |
conf_security_rbac.password.validation.enabled=true |
Définissez la validation des mots de passe de contrôle des accès basés sur les rôles sur "false" lorsque l'authentification unique (SSO) est activée. La valeur par défaut est "true". |
Réinitialiser le mot de passe Cassandra
Par défaut, l'authentification est désactivée dans Cassandra. Si vous activez l'authentification, elle utilise un utilisateur prédéfini nommé "cassandra" dont le mot de passe est "cassandra". Vous pouvez utiliser ce compte, définir un mot de passe différent pour celui-ci ou créer un utilisateur Cassandra. Ajoutez, supprimez et modifiez des utilisateurs à l'aide des instructions CREATE/ALTER/DROP USER
Cassandra.
Pour en savoir plus sur l'activation de l'authentification Cassandra, consultez la page Activer l'authentification Cassandra.
Pour réinitialiser le mot de passe Cassandra, procédez comme suit:
- Définissez le mot de passe sur n'importe quel nœud Cassandra pour qu'il soit diffusé sur tous les nœuds Cassandra de l'anneau.
- Mettre à jour le serveur de gestion, les processeurs de messages, les routeurs, les serveurs Qpid et les serveurs Postgres sur chaque nœud avec le nouveau mot de passe
Pour en savoir plus, consultez http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html.
Pour réinitialiser le mot de passe Cassandra:
- Connectez-vous à un nœud Cassandra à l'aide de l'outil
cqlsh
et des identifiants par défaut. Il vous suffit de modifier le mot de passe sur un seul nœud Cassandra pour qu'il soit diffusé sur tous les nœuds Cassandra de l'anneau :/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p 'cassandra'
Où :
cassIP
est l'adresse IP du nœud Cassandra.9042
est le port Cassandra.- L'utilisateur par défaut est
cassandra
. - Le mot de passe par défaut est
cassandra
. Si vous avez déjà modifié le mot de passe, utilisez le mot de passe actuel. Si le mot de passe contient des caractères spéciaux, vous devez l'encapsuler entre guillemets simples.
- Exécutez la commande suivante en tant qu'invite
cqlsh>
pour mettre à jour le mot de passe :ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
Si le nouveau mot de passe contient un guillemet simple, faites-le précéder d'un guillemet simple pour l'échapper.
- Quittez l'outil
cqlsh
:exit
- Sur le nœud du serveur de gestion, exécutez la commande suivante :
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p 'CASS_PASSWORD'
Vous pouvez éventuellement transmettre à la commande un fichier contenant le nouveau nom d'utilisateur et le nouveau mot de passe :
apigee-service edge-management-server store_cassandra_credentials -f configFile
Où configFile contient les éléments suivants :
CASS_USERNAME=CASS_USERNAME CASS_PASSWORD='CASS_PASSWROD'
Cette commande redémarre automatiquement le serveur de gestion.
- Répétez l'étape 4 sur :
- Tous les processeurs de messages
- Tous les routeurs
- Tous les serveurs Qpid (edge-qpid-server)
- Serveurs Postgres (edge-postgres-server)
Le mot de passe Cassandra a été modifié.
Réinitialiser le mot de passe PostgreSQL
Par défaut, la base de données PostgreSQL a deux utilisateurs définis: "postgres" et "apigee". Le mot de passe par défaut de ces deux utilisateurs est "postgres". Procédez comme suit pour modifier le mot de passe par défaut.
Modifiez le mot de passe sur tous les nœuds maîtres Postgres. Si vous avez deux serveurs Postgres configurés en mode maître/veille, il vous suffit de modifier le mot de passe sur le nœud maître. Pour en savoir plus, consultez la section Configurer la réplication en mode maître pour Postgres.
- Sur le nœud Postgres maître, remplacez les répertoires par
/opt/apigee/apigee-postgresql/pgsql/bin
. - Définissez le mot de passe utilisateur PostgreSQL "postgres" :
- Connectez-vous à la base de données PostgreSQL à l'aide de la commande suivante :
psql -h localhost -d apigee -U postgres
- Lorsque vous y êtes invité, saisissez le mot de passe utilisateur "postgres" existant : "postgres".
- Lorsque l'invite de commande PostgreSQL s'affiche, saisissez la commande suivante pour modifier le mot de passe par défaut :
ALTER USER postgres WITH PASSWORD 'new_password';
En cas de réussite, PostgreSQL répond avec le code suivant:
ALTER ROLE
- Quittez la base de données PostgreSQL à l'aide de la commande suivante :
\q
- Connectez-vous à la base de données PostgreSQL à l'aide de la commande suivante :
- Définissez le mot de passe utilisateur PostgreSQL "apigee" :
- Connectez-vous à la base de données PostgreSQL à l'aide de la commande suivante :
psql -h localhost -d apigee -U apigee
- Lorsque vous y êtes invité, entrez le mot de passe d'utilisateur "apigee" sous la forme "postgres".
- Lorsque l'invite de commande PostgreSQL s'affiche, saisissez la commande suivante pour modifier le mot de passe par défaut :
ALTER USER apigee WITH PASSWORD 'new_password';
- Quittez la base de données PostgreSQL à l'aide de la commande suivante :
\q
Vous pouvez définir les mots de passe "postgres" et "apigee" sur la même valeur ou des valeurs différentes.
- Connectez-vous à la base de données PostgreSQL à l'aide de la commande suivante :
- Définir
APIGEE_HOME
:export APIGEE_HOME=/opt/apigee/edge-postgres-server
- Chiffrez le nouveau mot de passe :
sh /opt/apigee/edge-analytics/utils/scripts/utilities/passwordgen.sh new_password
Cette commande renvoie un mot de passe chiffré. Le mot de passe chiffré commence après le caractère ":" et ne contient pas le caractère ":". Par exemple, le mot de passe chiffré pour "apigee1234" est:
Encrypted string:WheaR8U4OeMEM11erxA3Cw==
- Mettez à jour le nœud du serveur de gestion avec les nouveaux mots de passe chiffrés pour les utilisateurs "postgres" et "apigee".
- Sur le serveur de gestion, remplacez le répertoire par
/opt/apigee/customer/application
. - Modifiez le fichier
management-server.properties
pour définir les propriétés suivantes. Si ce fichier n'existe pas, créez-le. - Assurez-vous que le fichier appartient à l'utilisateur "apigee" :
chown apigee:apigee management-server.properties
- Sur le serveur de gestion, remplacez le répertoire par
- Mettez à jour tous les nœuds Postgres Server et Qpid avec le nouveau mot de passe chiffré.
- Sur le nœud Postgres Server ou Qpid Server, accédez au répertoire suivant :
/opt/apigee/customer/application
- Ouvrez les fichiers suivants pour les modifier :
postgres-server.properties
qpid-server.properties
Si ces fichiers n'existent pas, créez-les.
- Ajoutez les propriétés suivantes aux fichiers :
conf_pg-agent_password=newEncryptedPasswordForPostgresUser
conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- Assurez-vous que les fichiers appartiennent à l'utilisateur "apigee" :
chown apigee:apigee postgres-server.properties
chown apigee:apigee qpid-server.properties
- Sur le nœud Postgres Server ou Qpid Server, accédez au répertoire suivant :
- Mettez à jour le composant SSO (si l'authentification unique est activée) :
Connectez-vous au nœud sur lequel le composant
apigee-sso
s'exécute. Ce serveur est également appelé serveur d'authentification unique.Dans les installations AIO ou à 3 nœuds, ce nœud est le même nœud que le serveur de gestion.
Si plusieurs nœuds exécutent le composant
apigee-sso
, vous devez effectuer ces étapes sur chaque nœud.- Ouvrez le fichier suivant pour le modifier :
/opt/apigee/customer/application/sso.properties
Si le fichier n'existe pas, créez-le.
- Ajoutez la ligne suivante au fichier :
conf_uaa_database_password=new_password_in_plain_text
Exemple :
conf_uaa_database_password=apigee1234
- Exécutez la commande suivante pour appliquer les modifications de configuration au composant
apigee-sso
:/opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
- Répétez ces étapes pour chaque serveur SSO.
- Redémarrez les composants suivants dans l'ordre suivant :
- Base de données PostgreSQL :
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
- Serveur Qpid :
/opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
- Serveur Postgres :
/opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
- Serveur de gestion :
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Serveur SSO :
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart
- Base de données PostgreSQL :