Depois de concluir a instalação, redefina as seguintes senhas:
As instruções sobre como redefinir cada uma dessas senhas estão nas seções a seguir.
Redefinir a senha do OpenLDAP
A maneira de redefinir a senha do OpenLDAP depende da sua configuração. Dependendo da configuração do Edge, o OpenLDAP pode ser instalado como:
- Uma única instância do OpenLDAP instalada no nó do servidor de gerenciamento. Por exemplo, em uma configuração de borda com 2, 5 ou 9 nós.
- Várias instâncias do OpenLDAP instaladas nos nós do servidor de gerenciamento, configuradas com a replicação OpenLDAP. Por exemplo, em uma configuração de borda de 12 nós.
- Várias instâncias do OpenLDAP instaladas nos próprios nós, configuradas com replicação OpenLDAP. Por exemplo, em uma configuração de borda de 13 nós.
Para uma única instância do OpenLDAP instalada no servidor de gerenciamento, faça o seguinte:
- No nó do servidor de gerenciamento, execute o seguinte comando para criar a nova senha do OpenLDAP:
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap \ change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
- Execute o seguinte comando para armazenar a nova senha para acesso do servidor de gerenciamento:
/opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server \ store_ldap_credentials ‑p NEW_PASSWORD
Esse comando reinicia o servidor de gerenciamento.
Em uma configuração de replicação OpenLDAP com o OpenLDAP instalado nos nós do servidor de gerenciamento, siga as etapas acima nos dois nós para atualizar a senha.
Em uma configuração de replicação OpenLDAP com o OpenLDAP em um nó diferente do servidor de gerenciamento, primeiro altere a senha nos dois nós do OpenLDAP e depois nos dois.
Redefinir senha do administrador do sistema
Para redefinir a senha do administrador do sistema, você precisa redefinir a senha em dois locais:
- Servidor de gerenciamento
- Interface
Para redefinir a senha do administrador do sistema:
- Edite o arquivo de configuração silenciosa usado para instalar a interface do Edge para definir as seguintes propriedades:
APIGEE_ADMINPW=NEW_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y SMTPMAILFROM="My Company <myco@company.com>"
Observe que você precisa incluir as propriedades SMTP ao transmitir a nova senha, porque todas as propriedades na IU são redefinidas.
- No nó da interface, pare a interface do Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- Use o utilitário
apigee-setup
para redefinir a senha na interface do Edge a partir do arquivo de configuração:/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Somente se o TLS estiver ativado na interface) Reative o TLS na interface do Edge, conforme descrito em Como configurar o TLS para a interface de gerenciamento.
- No servidor de gerenciamento, crie um novo arquivo XML. Nesse arquivo, defina o ID do usuário como "admin"
e a senha, o nome, o sobrenome e o endereço de e-mail usando o seguinte formato:
<User id="admin"> <Password><![CDATA[password]]></Password> <FirstName>first_name</FirstName> <LastName>last_name</LastName> <EmailId>email_address</EmailId> </User>
- No servidor de gerenciamento, execute o seguinte comando:
curl ‑u "admin_email_address:admin_password" ‑H \ "Content‑Type: application/xml" ‑H "Accept: application/json" ‑X POST \ "http://localhost:8080/v1/users/admin_email_address" ‑d @your_data_file
Em que your_data_file é o arquivo que você criou na etapa anterior.
O Edge atualiza sua senha de administrador no servidor de gerenciamento.
- Exclua o arquivo XML criado. As senhas nunca devem ser armazenadas permanentemente em texto não criptografado.
Em um ambiente de replicação OpenLDAP com vários servidores de gerenciamento, a redefinição da senha em um servidor de gerenciamento atualiza o outro automaticamente. No entanto, você precisa atualizar todos os nós da IU do Edge separadamente.
Redefinir a senha do usuário da organização
Para redefinir a senha de um usuário de uma organização, use o utilitário apigee-servce
para invocar apigee-setup
, como no exemplo a seguir:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
Exemplo:
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md ~/Documents/utilities/README.md
Confira abaixo um exemplo de arquivo de configuração que pode ser usado com a opção "-f":
USER_NAME=user@myCo.com USER_PWD="Foo12345" APIGEE_ADMINPW=ADMIN_PASSWORD
Também é possível usar a API Update user para alterar a senha do usuário.
Regras de senha do usuário do SysAdmin e da organização
Use esta seção para aplicar um nível desejado de tamanho e força da senha aos usuários do gerenciamento de API. As configurações usam uma série de expressões regulares pré-configuradas, numeradas de maneira exclusiva,
para verificar o conteúdo da senha, como letras maiúsculas, minúsculas, números e caracteres
especiais. Grave essas configurações no arquivo
/opt/apigee/customer/application/management-server.properties
. Se esse arquivo não existir, crie-o.
Depois de editar management-server.properties
, reinicie o servidor de gerenciamento:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Em seguida, defina classificações de nível de segurança da senha agrupando diferentes combinações de expressões regulares. Por exemplo, é possível determinar que uma senha com pelo menos uma letra maiúscula e uma letra minúscula tenha uma classificação de força de "3", mas que uma senha com pelo menos uma letra minúscula e um número tenha uma classificação mais forte de "4".
Propriedade | Descrição |
---|---|
conf_security_password.validation.minimum.password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum.rating.required=3 |
Use-as para determinar as características gerais das senhas válidas. A classificação mínima padrão para o nível da senha, descrita mais adiante na tabela, é 3. Observe que a password.validation.default.rating=2 é menor que a classificação mínima exigida, o que significa que, se a senha inserida não estiver dentro das regras configuradas, ela será classificada como 2 e, portanto, será inválida (abaixo da classificação mínima de 3). |
Veja a seguir expressões regulares que identificam características de senhas. Observe que cada um é numerado. Por exemplo,
|
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1: todos os caracteres se repetem |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: pelo menos uma letra minúscula |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3: pelo menos uma letra maiúscula |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: pelo menos um dígito |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: pelo menos um caractere especial (não incluindo sublinhado _) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: pelo menos um sublinhado |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7: mais de uma letra minúscula |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8: mais de uma letra maiúscula |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9: mais de um dígito |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10: mais de um caractere especial (sem o sublinhado) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11: mais de um sublinhado |
As regras a seguir determinam o nível da senha com base no conteúdo. Cada regra inclui uma ou mais expressões regulares da seção anterior e atribui uma força numérica a ela. A força numérica de uma senha é comparada ao número conf_security_password.validation.minimum.rating.required no topo deste arquivo para determinar se ela é válida ou não. |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
Cada regra é numerada. Por exemplo,
Cada regra usa o seguinte formato (à direita do sinal de igual): regex-index-list,[AND|OR],rating regex-index-list é a lista de expressões regulares (por número da seção anterior), com um operador rating é a classificação da força numérica dada a cada regra. Por exemplo, a regra 5 significa que qualquer senha com pelo menos um caractere especial OU um sublinhado recebe uma classificação de força de 4. Com |
conf_security_rbac.password.validation.enabled=true |
Defina a validação de senha do controle de acesso baseado em papéis como falsa quando o logon único (SSO) estiver ativado. O padrão é verdadeiro. |
Redefinir senha do Cassandra
Por padrão, o Cassandra é enviado com a autenticação desativada. Se você ativar a autenticação, ela
vai usar um usuário predefinido chamado "cassandra" com uma senha "cassandra". Use essa conta, defina uma senha diferente ou crie um novo usuário do Cassandra. Adicione, remova e modifique usuários usando as instruções CREATE/ALTER/DROP USER
do Cassandra.
Para saber como ativar a autenticação do Cassandra, consulte Ativar a autenticação do Cassandra.
Para redefinir a senha do Cassandra, faça o seguinte:
- Defina a senha em qualquer nó do Cassandra, e ela vai ser transmitida para todos os nós do Cassandra no anel
- Atualize o servidor de gerenciamento, os processadores de mensagens, os roteadores, os servidores Qpid e os servidores Postgres em cada nó com a nova senha
Para mais informações, consulte http://www.datastax.com/documentation/cql/3.0/cql/cql_reference/cqlCommandsTOC.html (em inglês).
Para redefinir a senha do Cassandra:
- Faça login em qualquer nó do Cassandra usando a ferramenta
cqlsh
e as credenciais padrão. Você só precisa mudar a senha em um nó do Cassandra, e ela será transmitida para todos os nós do Cassandra no anel:/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p 'cassandra'
Em que:
cassIP
é o endereço IP do nó do Cassandra.9042
é a porta do Cassandra.- O usuário padrão é
cassandra
. - A senha padrão é "
cassandra
". Se você tiver alterado a senha anteriormente, use a atual. Se a senha tiver caracteres especiais, coloque-a entre aspas simples.
- Execute o seguinte comando como o prompt
cqlsh>
para atualizar a senha:ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
Se a nova senha tiver um caractere de aspas simples, faça o escape adicionando um caractere de aspas simples antes dela.
- Saia da ferramenta
cqlsh
:exit
- No nó do servidor de gerenciamento, execute o seguinte comando:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p 'CASS_PASSWORD'
Outra opção é transmitir um arquivo para o comando que contém o novo nome de usuário e senha:
apigee-service edge-management-server store_cassandra_credentials -f configFile
Em que configFile contém o seguinte:
CASS_USERNAME=CASS_USERNAME CASS_PASSWORD='CASS_PASSWROD'
Esse comando reinicia automaticamente o servidor de gerenciamento.
- Repita a etapa 4 em:
- Todos os processadores de mensagens
- Todos os roteadores
- Todos os servidores Qpid (edge-qpid-server)
- Servidores Postgres (edge-postgres-server)
A senha do Cassandra foi alterada.
Redefinir senha do PostgreSQL
Por padrão, o banco de dados PostgreSQL tem dois usuários definidos: "postgres" e "apigee". A senha padrão dos dois usuários é "postgres". Use o procedimento a seguir para alterar a senha padrão.
Altere a senha em todos os nós mestres do Postgres. Se você tiver dois servidores Postgres configurados no modo mestre/de espera, basta alterar a senha no nó mestre. Consulte Configurar replicação mestre em espera para Postgres (em inglês) para mais informações.
- No nó mestre do Postgres, altere os diretórios para
/opt/apigee/apigee-postgresql/pgsql/bin
. - Defina a senha de usuário "postgres" do PostgreSQL:
- Faça login no banco de dados do PostgreSQL usando o comando:
psql -h localhost -d apigee -U postgres
- Quando solicitado, insira a senha de usuário do "postgres" como "postgres".
- No prompt de comando do PostgreSQL, digite o seguinte comando para alterar a senha padrão:
ALTER USER postgres WITH PASSWORD 'new_password';
Em caso de sucesso, o PostgreSQL responde da seguinte forma:
ALTER ROLE
- Saia do banco de dados PostgreSQL usando o seguinte comando:
\q
- Faça login no banco de dados do PostgreSQL usando o comando:
- Defina a senha do usuário do PostgreSQL "apigee":
- Faça login no banco de dados do PostgreSQL usando o comando:
psql -h localhost -d apigee -U apigee
- Quando solicitado, digite a senha de usuário "apigee" como "postgres".
- No prompt de comando do PostgreSQL, digite o seguinte comando para alterar a senha padrão:
ALTER USER apigee WITH PASSWORD 'new_password';
- Saia do banco de dados PostgreSQL usando o comando:
\q
É possível definir as senhas dos usuários "postgres" e "apigee" com o mesmo valor ou diferentes.
- Faça login no banco de dados do PostgreSQL usando o comando:
- Definir
APIGEE_HOME
:export APIGEE_HOME=/opt/apigee/edge-postgres-server
- Criptografe a nova senha:
sh /opt/apigee/edge-analytics/utils/scripts/utilities/passwordgen.sh new_password
Esse comando retorna uma senha criptografada. A senha criptografada começa depois do caractere ":" e não inclui ":". Por exemplo, a senha criptografada para "apigee1234" é:
Encrypted string:WheaR8U4OeMEM11erxA3Cw==
- Atualize o nó do servidor de gerenciamento com as novas senhas criptografadas para os usuários
"postgres" e "apigee".
- No servidor de gerenciamento, altere o diretório para
/opt/apigee/customer/application
. - Edite o arquivo
management-server.properties
para definir as propriedades a seguir. Se o arquivo não existir, crie-o. - Verifique se o arquivo pertence ao usuário "apigee":
chown apigee:apigee management-server.properties
- No servidor de gerenciamento, altere o diretório para
- Atualize todos os nós dos servidores Postgres e Qpid Server com a nova senha criptografada.
- No nó do servidor Postgres ou Qpid Server, mude para o seguinte diretório:
/opt/apigee/customer/application
- Abra os seguintes arquivos para edição:
postgres-server.properties
qpid-server.properties
Se esses arquivos não existirem, crie-os.
- Adicione as seguintes propriedades aos arquivos:
conf_pg-agent_password=newEncryptedPasswordForPostgresUser
conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- Verifique se os arquivos pertencem ao usuário "apigee":
chown apigee:apigee postgres-server.properties
chown apigee:apigee qpid-server.properties
- No nó do servidor Postgres ou Qpid Server, mude para o seguinte diretório:
- Atualize o componente SSO (se o SSO estiver ativado):
Conecte-se ao nó em que o componente
apigee-sso
está sendo executado ou faça login nele. Ele também é chamado de servidor de SSO.Nas instalações do AIO ou de três nós, esse nó é o mesmo que o servidor de gerenciamento.
Se houver vários nós executando o componente
apigee-sso
, siga estas etapas em cada um deles.- Abra o seguinte arquivo para edição:
/opt/apigee/customer/application/sso.properties
Se o arquivo não existir, crie-o.
- Adicione a linha abaixo ao arquivo:
conf_uaa_database_password=new_password_in_plain_text
Exemplo:
conf_uaa_database_password=apigee1234
- Execute o seguinte comando para aplicar as mudanças de configuração ao componente
apigee-sso
:/opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
- Repita essas etapas para cada servidor SSO.
- Reinicie os componentes a seguir na seguinte ordem:
- Banco de dados PostgreSQL:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
- Servidor Qpid:
/opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
- Servidor Postgres:
/opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
- Servidor de gerenciamento:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Servidor SSO:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart
- Banco de dados PostgreSQL: