ডিফল্টরূপে, আপনি ম্যানেজমেন্ট সার্ভার নোড এবং পোর্ট 9000 এর আইপি ঠিকানা ব্যবহার করে HTTP-এর মাধ্যমে এজ UI অ্যাক্সেস করতে পারেন। উদাহরণস্বরূপ:
http://ms_IP:9000
বিকল্পভাবে, আপনি এজ UI-তে TLS অ্যাক্সেস কনফিগার করতে পারেন যাতে আপনি ফর্মটিতে এটি অ্যাক্সেস করতে পারেন:
https://ms_IP:9443
এই উদাহরণে, আপনি পোর্ট 9443 ব্যবহার করার জন্য TLS অ্যাক্সেস কনফিগার করেন। যাইহোক, এই পোর্ট নম্বরটি এজ-এর দ্বারা প্রয়োজন হয় না - আপনি অন্যান্য পোর্ট মান ব্যবহার করতে ম্যানেজমেন্ট সার্ভার কনফিগার করতে পারেন। শুধুমাত্র প্রয়োজন হল যে আপনার ফায়ারওয়াল নির্দিষ্ট পোর্টের উপর ট্রাফিকের অনুমতি দেয়।
আপনার TLS পোর্ট খোলা আছে তা নিশ্চিত করুন
এই বিভাগের পদ্ধতিটি ম্যানেজমেন্ট সার্ভারে পোর্ট 9443 ব্যবহার করার জন্য TLS-কে কনফিগার করে। আপনি যে পোর্ট ব্যবহার করেন না কেন, আপনাকে অবশ্যই নিশ্চিত করতে হবে যে পোর্টটি ম্যানেজমেন্ট সার্ভারে খোলা আছে। উদাহরণস্বরূপ, আপনি এটি খুলতে নিম্নলিখিত কমান্ড ব্যবহার করতে পারেন:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose
TLS কনফিগার করুন
ব্যবস্থাপনা UI-তে TLS অ্যাক্সেস কনফিগার করতে নিম্নলিখিত পদ্ধতিটি ব্যবহার করুন:
- আপনার TLS সার্টিফিকেশন এবং ব্যক্তিগত কী সম্বলিত কীস্টোর JKS ফাইল তৈরি করুন এবং ম্যানেজমেন্ট সার্ভার নোডে অনুলিপি করুন। আরও তথ্যের জন্য, এজ অন প্রিমিসেসের জন্য TLS/SSL কনফিগার করা দেখুন।
- TLS কনফিগার করতে নিম্নলিখিত কমান্ডটি চালান:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
- HTTPS পোর্ট নম্বর লিখুন, উদাহরণস্বরূপ, 9443।
- আপনি ম্যানেজমেন্ট UI-তে HTTP অ্যাক্সেস অক্ষম করতে চান কিনা তা নির্দিষ্ট করুন। ডিফল্টরূপে, ব্যবস্থাপনা UI পোর্ট 9000-এ HTTP-এর মাধ্যমে অ্যাক্সেসযোগ্য।
- কীস্টোর অ্যালগরিদম লিখুন। ডিফল্ট JKS.
- কীস্টোর JKS ফাইলের পরম পথ প্রবেশ করান।
স্ক্রিপ্ট ম্যানেজমেন্ট সার্ভার নোডের
/opt/apigee/customer/confডিরেক্টরিতে ফাইলটিকে কপি করে এবং ফাইলের মালিকানা "apigee" এ পরিবর্তন করে। - পরিষ্কার পাঠ্য কীস্টোর পাসওয়ার্ড লিখুন।
- স্ক্রিপ্ট তারপর এজ ম্যানেজমেন্ট UI পুনরায় আরম্ভ করে। পুনঃসূচনা করার পরে, ব্যবস্থাপনা UI টিএলএস-এ অ্যাক্সেস সমর্থন করে।
আপনি এই সেটিংস
/opt/apigee/etc/edge-ui.d/SSL.shএ দেখতে পারেন।
TLS কনফিগার করার জন্য একটি কনফিগার ফাইল ব্যবহার করে
উপরের পদ্ধতির বিকল্প হিসাবে, আপনি পদ্ধতির ধাপ 2 এ কমান্ডে একটি কনফিগার ফাইল পাস করতে পারেন। আপনি যদি ঐচ্ছিক TLS বৈশিষ্ট্য সেট করতে চান তাহলে আপনাকে এই পদ্ধতিটি ব্যবহার করতে হবে।
একটি কনফিগার ফাইল ব্যবহার করতে, একটি নতুন ফাইল তৈরি করুন এবং নিম্নলিখিত বৈশিষ্ট্য যোগ করুন:
HTTPSPORT=9443 DISABLE_HTTP=y KEY_ALGO=JKS KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks KEY_PASS=clearTextKeystorePWord
আপনি চান যে কোনো নাম দিয়ে একটি স্থানীয় ডিরেক্টরিতে ফাইল সংরক্ষণ করুন। তারপর TLS কনফিগার করতে নিম্নলিখিত কমান্ডটি ব্যবহার করুন:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
যেখানে configFile হল আপনার সেভ করা ফাইলের সম্পূর্ণ পথ।
লোড ব্যালেন্সারে TLS বন্ধ হয়ে গেলে এজ UI কনফিগার করুন
যদি আপনার কাছে একটি লোড ব্যালেন্সার থাকে যা এজ UI-তে অনুরোধগুলি ফরোয়ার্ড করে, আপনি লোড ব্যালেন্সারে TLS সংযোগ বন্ধ করতে বেছে নিতে পারেন এবং তারপর HTTP-এর মাধ্যমে এজ UI-তে লোড ব্যালেন্সার ফরোয়ার্ড করার অনুরোধ করতে পারেন। এই কনফিগারেশনটি সমর্থিত কিন্তু আপনাকে সেই অনুযায়ী লোড ব্যালেন্সার এবং এজ UI কনফিগার করতে হবে।
অতিরিক্ত কনফিগারেশনের প্রয়োজন হয় যখন এজ UI ব্যবহারকারীদের তাদের পাসওয়ার্ড সেট করার জন্য ইমেল পাঠায় যখন ব্যবহারকারী তৈরি হয় বা যখন ব্যবহারকারী একটি হারিয়ে যাওয়া পাসওয়ার্ড পুনরায় সেট করার অনুরোধ করে। এই ইমেলটিতে একটি URL রয়েছে যা ব্যবহারকারী একটি পাসওয়ার্ড সেট বা রিসেট করতে নির্বাচন করে। ডিফল্টরূপে, যদি TLS ব্যবহার করার জন্য Edge UI কনফিগার করা না থাকে, তাহলে জেনারেট করা ইমেলের URL HTTP প্রোটোকল ব্যবহার করে, HTTPS নয়। HTTPS ব্যবহার করে এমন একটি ইমেল ঠিকানা তৈরি করতে আপনাকে অবশ্যই লোড ব্যালেন্সার এবং এজ UI কনফিগার করতে হবে।
লোড ব্যালেন্সার কনফিগার করতে, নিশ্চিত করুন যে এটি এজ UI-তে ফরোয়ার্ড করা অনুরোধের উপর নিম্নলিখিত শিরোনাম সেট করে:
X-Forwarded-Proto: https
এজ UI কনফিগার করতে:
- একটি সম্পাদকে
/opt/apigee/customer/application/ui.propertiesফাইলটি খুলুন। ফাইলটি বিদ্যমান না থাকলে, এটি তৈরি করুন:vi /opt/apigee/customer/application/ui.properties
ui.propertiesএ নিম্নলিখিত সম্পত্তি সেট করুন:conf/application.conf+trustxforwarded=true
-
ui.propertiesএ আপনার পরিবর্তনগুলি সংরক্ষণ করুন। - এজ UI পুনরায় চালু করুন:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
ঐচ্ছিক TLS বৈশিষ্ট্য সেট করা হচ্ছে
এজ UI ঐচ্ছিক TLS কনফিগারেশন বৈশিষ্ট্য সমর্থন করে যা আপনি নিম্নলিখিত সেট করতে ব্যবহার করতে পারেন:
- ডিফল্ট TLS প্রোটোকল
- সমর্থিত TLS প্রোটোকলের তালিকা
- সমর্থিত TLS অ্যালগরিদম
- সমর্থিত TLS সাইফার
এই ঐচ্ছিক পরামিতিগুলি শুধুমাত্র তখনই পাওয়া যায় যখন আপনি কনফিগার ফাইলে নিম্নলিখিত কনফিগারেশন প্রপার্টি সেট করেন, যেমনটি TLS কনফিগার করার জন্য একটি কনফিগারেশন ফাইল ব্যবহার করে বর্ণনা করা হয়েছে:
TLS_CONFIGURE=y
নিম্নলিখিত সারণী এই বৈশিষ্ট্যগুলি বর্ণনা করে:
| সম্পত্তি | বর্ণনা |
|---|---|
TLS_PROTOCOL | এজ UI এর জন্য ডিফল্ট TLS প্রোটোকল সংজ্ঞায়িত করে। ডিফল্টরূপে, এটি TLS 1.2। বৈধ মান হল TLSv1.2, TLSv1.1, TLSv1। |
TLS_ENABLED_PROTOCOL | একটি কমা-বিচ্ছিন্ন অ্যারে হিসাবে সক্রিয় প্রোটোকলের তালিকা সংজ্ঞায়িত করে। যেমন: TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"] লক্ষ্য করুন যে আপনাকে "অক্ষর থেকে বাঁচতে হবে। ডিফল্টরূপে সমস্ত প্রোটোকল সক্রিয় করা হয়। |
TLS_DISABLED_ALGO | অক্ষম সাইফার স্যুটগুলিকে সংজ্ঞায়িত করে এবং TLS হ্যান্ডশেকিংয়ের জন্য ছোট কী আকারগুলিকে প্রতিরোধ করতেও ব্যবহার করা যেতে পারে৷ কোন ডিফল্ট মান নেই। TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048 |
TLS_ENABLED_CIPHERS | উপলব্ধ TLS সাইফারের তালিকাকে একটি কমা-বিচ্ছিন্ন অ্যারে হিসাবে সংজ্ঞায়িত করে। যেমন: TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\", \"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"] লক্ষ্য করুন যে আপনাকে "অক্ষর থেকে বাঁচতে হবে। সক্রিয় সাইফারের ডিফল্ট তালিকা হল: "TLS_DHE_RSA_WITH_AES_256_CBC_SHA", "TLS_DHE_RSA_WITH_AES_128_CBC_SHA", "TLS_DHE_DSS_WITH_AES_128_CBC_SHA", "TLS_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_AES_128_CBC_SHA", "SSL_RSA_WITH_RC4_128_SHA", "SSL_RSA_WITH_RC4_128_MD5", "TLS_EMPTY_RENEGOTIATION_INFO_SCSV" এখানে উপলব্ধ সাইফারের তালিকা খুঁজুন। |
TLS প্রোটোকল অক্ষম করা হচ্ছে
TLS প্রোটোকল নিষ্ক্রিয় করতে, আপনাকে কনফিগার ফাইলটি সম্পাদনা করতে হবে, যা TLS কনফিগার করার জন্য একটি কনফিগার ফাইল ব্যবহার করে বর্ণিত হয়েছে, নিম্নরূপ:
- একটি সম্পাদকে কনফিগার ফাইলটি খুলুন।
- একটি একক TLS প্রোটোকল নিষ্ক্রিয় করতে-উদাহরণস্বরূপ, TLSv1.0- কনফিগার ফাইলে নিম্নলিখিত যোগ করুন:
TLS_CONFIGURE=y TLS_DISABLED_ALGO="tlsv1"
একাধিক প্রোটোকল নিষ্ক্রিয় করতে-উদাহরণস্বরূপ, TLSv1.0 এবং TLSv1.1- কনফিগার ফাইলে নিম্নলিখিত যোগ করুন:
TLS_CONFIGURE=y TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
- কনফিগার ফাইলে আপনার পরিবর্তনগুলি সংরক্ষণ করুন।
- TLS কনফিগার করতে নিম্নলিখিত কমান্ডটি চালান:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
যেখানে configFile কনফিগার ফাইলের সম্পূর্ণ পথ।
- এজ UI পুনরায় চালু করুন:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
নিরাপদ কুকিজ ব্যবহার করুন
ব্যক্তিগত ক্লাউডের জন্য Apigee এজ এজ UI থেকে প্রতিক্রিয়ার জন্য Set-Cookie হেডারে secure পতাকা যোগ করা সমর্থন করে। যদি এই পতাকাটি উপস্থিত থাকে, তাহলে কুকি শুধুমাত্র TLS-সক্ষম চ্যানেলগুলিতে পাঠানো যেতে পারে। যদি এটি উপস্থিত না থাকে, তাহলে কুকি যে কোনো চ্যানেলে পাঠানো যেতে পারে, তা নিরাপদ হোক বা না হোক।
secure পতাকা ছাড়া কুকিগুলি সম্ভাব্যভাবে আক্রমণকারীকে কুকি ক্যাপচার এবং পুনরায় ব্যবহার করতে বা একটি সক্রিয় সেশন হাইজ্যাক করার অনুমতি দিতে পারে৷ অতএব, সর্বোত্তম অনুশীলন হল এই সেটিংটি সক্ষম করা।
এজ UI কুকিজের জন্য secure পতাকা সেট করতে:
- একটি পাঠ্য সম্পাদকে নিম্নলিখিত ফাইলটি খুলুন:
/opt/apigee/customer/application/ui.properties
যদি ফাইলটি বিদ্যমান না থাকে তবে এটি তৈরি করুন।
-
ui.propertiesফাইলেconf_application_session.secureপ্রপার্টিটিকেtrueহিসাবে সেট করুন, যেমনটি নিম্নলিখিত উদাহরণটি দেখায়:conf_application_session.secure=true
- আপনার পরিবর্তন সংরক্ষণ করুন.
-
apigee-sericeইউটিলিটি ব্যবহার করে Edge UI পুনরায় চালু করুন, নিম্নলিখিত উদাহরণটি দেখায়:/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
পরিবর্তনটি কাজ করছে তা নিশ্চিত করতে, curl এর মতো একটি ইউটিলিটি ব্যবহার করে এজ UI থেকে প্রতিক্রিয়া শিরোনামগুলি পরীক্ষা করুন; উদাহরণস্বরূপ:
curl -i -v https://edge_UI_URL
হেডারে একটি লাইন থাকা উচিত যা নিচের মত দেখাচ্ছে:
Set-Cookie: secure; ...
এজ UI এ TLS অক্ষম করুন
এজ UI এ TLS অক্ষম করতে, নিম্নলিখিত কমান্ডটি ব্যবহার করুন:
/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl