Activer l'authentification Cassandra

Par défaut, Cassandra est installé sans activer l'authentification. Cela signifie que toute personne ayant accès à votre serveur Cassandra peut interroger la base de données Cassandra sans aucune authentification. Vous pouvez activer l'authentification après avoir installé Edge ou lors du processus d'installation.

Si vous décidez d'activer l'authentification sur Cassandra sans fournir vos propres identifiants, les identifiants par défaut suivants sont utilisés:

  • nom d'utilisateur = "cassandra"
  • mot de passe = "cassandra"

Vous pouvez utiliser ce compte utilisateur, définir un mot de passe différent pour ce compte utilisateur ou créer un utilisateur Cassandra. Ajoutez, supprimez et modifiez des utilisateurs à l'aide des instructions CREATE/ALTER/DROP USER Cassandra.

Pour en savoir plus, consultez la section Commandes d'interface système SQL Cassandra.

Activer l'authentification Cassandra lors de l'installation

Vous pouvez activer l'authentification Cassandra au moment de l'installation. Toutefois, bien que vous puissiez activer l'authentification lorsque vous installez Cassandra, vous devez toujours utiliser le nom d'utilisateur et le mot de passe cassandra par défaut (‘cassandra’:’cassandra’) lors de l'installation. Si vous souhaitez utiliser des identifiants Cassandra autres que ceux par défaut, vous devez réactiver l'authentification Cassandra après l'installation en suivant cette procédure.

Si vous souhaitez activer l'authentification Cassandra lors d'une nouvelle installation de Cassandra, incluez les propriétés ci-dessous dans le fichier de configuration pour tous les nœuds Cassandra:

CASS_AUTH=y
CASS_USERNAME=cassandra
CASS_PASSWORD=cassandra

L'installation configure ensuite Cassandra avec l'authentification activée et avec les identifiants cassandra:cassandra par défaut.

Une fois l'installation initiale terminée, vous pouvez suivre une ou plusieurs des étapes suivantes:

  • Créez un autre utilisateur à utiliser pour l'authentification Cassandra en suivant la procédure ici.
  • Modifiez le mot de passe de l'utilisateur Cassandra par défaut en suivant cette procédure.
  • Installez les composants Edge qui utilisent Cassandra pour utiliser les identifiants que vous avez définis ci-dessus.

Composants périphériques qui se connectent à Cassandra

Les composants Edge suivants accèdent à Cassandra:

  • Serveur de gestion
  • Processeurs de messages
  • Routeurs
  • Serveurs Qpid
  • Serveurs Postgres

Installer les composants Edge lorsque l'authentification Cassandra est activée

Si l'authentification Cassandra est activée lorsque vous installez ces composants Edge pour la première fois, vous devez fournir les paramètres suivants dans le fichier de configuration silencieuse:

CASS_AUTH=Y
CASS_USERNAME=<valid username in Cassandra>
CASS_PASSWORD=<password for the above username>

Vous pouvez modifier les identifiants de Cassandra après avoir installé Cassandra. Toutefois, si vous avez déjà installé le serveur de gestion, les processeurs de messages, les routeurs, les serveurs Qpid ou les serveurs Postgres, vous devez également mettre à jour ces composants pour qu'ils utilisent les nouveaux identifiants, comme décrit dans la section suivante.

Mettre à jour les composants Edge qui se connectent à Cassandra

Utilisez la procédure suivante pour mettre à jour tous les composants Edge qui communiquent avec Cassandra avec les nouveaux identifiants. Notez que vous devez effectuer cette étape avant de mettre à jour les identifiants Cassandra:

  1. Sur le nœud du serveur de gestion, exécutez la commande suivante : 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u cassandra_username -p cassandra_password

    Vous pouvez éventuellement transmettre à la commande un fichier contenant les nouveaux nom d'utilisateur et mot de passe:

    apigee-service edge-management-server store_cassandra_credentials  -f configFile

    configFile contient les éléments suivants:

    CASS_USERNAME=cassandra_username # Default is cassandra
CASS_PASSWORD='cassandra_password' # Default is cassandra; wrap in single quotes if it includes special characters.

    Cette commande redémarre automatiquement le serveur de gestion.

  2. Répétez l'étape 1 pour chacun des services suivants :
    • Tous les processeurs de messages
    • Tous les routeurs
    • Tous les serveurs Qpid (edge-qpid-server)
    • Serveurs Postgres (edge-postgres-server)

    Lorsque vous répétez l'étape 1 pour chaque service, remplacez edge-management-server dans la commande ci-dessus par le nom du service approprié. Par exemple, lorsque vous exécutez l'étape pour un service de routeur, utilisez la commande suivante:

    /opt/apigee/apigee-service/bin/apigee-service edge-router store_cassandra_credentials -u cassandra -p cassandra

    Activer l'authentification Cassandra après l'installation

    Les sections suivantes expliquent comment activer l'authentification Cassandra après l'installation.

    Activer l'authentification Cassandra sur une seule configuration de centre de données

    Pour une configuration Apigee unique basée sur un centre de données et sur laquelle Cassandra est déjà installé, vous pouvez:

    Remarque:L'utilisateur Cassandra est un utilisateur spécial de Cassandra. L'authentification utilisant cet utilisateur nécessite une cohérence QUORUM. Consultez la section À propos des niveaux de cohérence Cassandra.

    Activer l'authentification Cassandra lorsqu'il existe plusieurs centres de données

    Pour développer des centres de données, suivez les étapes de l'un des scénarios suivants, en fonction de ce qui correspond à votre configuration.

    Scénario 1: l'authentification Cassandra est activée dans un centre de données existant

    Si l'authentification Cassandra est déjà activée dans un centre de données existant avec les identifiants cassandra:cassandra par défaut, procédez comme suit:

    1. Configurez un nouveau centre de données avec les identifiants Cassandra:Cassandra par défaut et CASS_AUTH=y. Consultez la section Activer l'authentification Cassandra pour la première fois.
    2. Installez les composants Edge dans le nouveau centre de données à l'aide des identifiants Cassandra par défaut.

    Si l'authentification Cassandra est déjà activée dans le centre de données existant avec des identifiants autres que ceux par défaut, procédez comme suit:

    1. Configurer un nouveau centre de données avec les identifiants Cassandra:Cassandra par défaut et CASS_AUTH=y. Consultez la section Activer l'authentification Cassandra pour la première fois.
    2. Suivez la procédure Activer l'authentification Cassandra pour la première fois afin de réutiliser les identifiants d'un centre de données existant (si celui-ci utilise un identifiant autre que celui par défaut).
    3. Installez les composants Edge dans le nouveau centre de données à l'aide d'identifiants Cassandra autres que ceux par défaut.

    Scénario 2: l'authentification Cassandra n'est pas activée dans un centre de données existant

    Si l'authentification cassandra n'est pas activée, procédez comme suit:

    1. Configurer un nouveau centre de données sans authentification Cassandra
    2. Suivez la procédure Activer l'authentification Cassandra pour la première fois afin d'activer l'authentification Cassandra sur le cluster (après expansion).
    3. Mettez à jour les composants Edge qui se connectent à Cassandra en suivant cette procédure.

    Activer l'authentification Cassandra pour la première fois

    Suivez la procédure suivante si vous activez l'authentification Cassandra pour la première fois ou si vous souhaitez créer un nom d'utilisateur et un mot de passe Cassandra:

    1. Créez un fichier de configuration silencieux avec le contenu ci-dessous : 
      # Specify IP address or DNS name of cassandra node
IP1=192.168.1.1
IP2=192.168.1.2
IP3=192.168.1.3

# Must resolve to IP address or DNS name of host
HOSTIP=$(hostname -i)

# Set to ‘y’ to enable Cassandra authentication.
CASS_AUTH=y # Possible values are ‘y/n’

# Cassandra username. If it does not exist, this user would be created as a SUPERUSER
CASS_USERNAME=cassandra # Default value is cassandra
# Cassandra Password. If CASS_USERNAME does not exist, create SUPERUSER with this as password
CASS_PASSWORD=cassandra # Default value is cassandra

# Space-separated IP/DNS names of the Cassandra hosts
CASS_HOSTS="$IP1:1,1 $IP2:1,1 $IP3:1,1"

# Username of an existing C* user. Only needed if you have disabled or change details of the default cassandra user(‘cassandra’)
CASS_EXISTING_USERNAME=cassandra  # The default username is cassandra
# Password of an existing C* user. Only needed if you have disabled or change password of the default cassandra user(‘cassandra’)
CASS_EXISTING_PASSWORD=cassandra  # The default password is cassandra

# Cassandra port
CASS_PORT=9042 # The default port is 9042.
    2. Connectez-vous au premier nœud Cassandra et exécutez la commande suivante : 
      apigee-service apigee-cassandra enable_cassandra_authentication -f CONFIG

      Vous pouvez éventuellement transmettre les propriétés en tant qu'arguments de commande au script, comme indiqué dans l'exemple suivant:

      CASS_AUTH=y HOSTIP=$(hostname -i) CASS_PORT=9042 CASS_EXISTING_USERNAME=cassandra CASS_EXISTING_PASSWORD=cassandra CASS_USERNAME=cassandra CASS_PASSWORD=cassandra  CASS_HOSTS="192.168.1.1:1,1 192.168.1.2:1,1 192.168.1.3:1,1" apigee-service apigee-cassandra enable_cassandra_authentication

      Remarques :

      • Pour les identifiants Cassandra par défaut, la commande ci-dessus active l'authentification Cassandra et redémarre Cassandra.
      • Pour les identifiants autres que ceux par défaut, la commande modifie également le facteur de réplication, crée un super-utilisateur et exécute une réparation sur l'espace de clés system_auth.
    3. Répétez les étapes 1 et 2 sur tous les nœuds Cassandra un par un.

    Modifier les identifiants Cassandra après l'installation de Cassandra

    Pour modifier les identifiants de Cassandra après l'avoir installé, procédez comme suit:

    1. Connectez-vous à un nœud Cassandra à l'aide de l'outil cqlsh et des identifiants par défaut. Il vous suffit de modifier le mot de passe sur un seul nœud pour qu'il soit diffusé sur tous les nœuds Cassandra de l'anneau : 
      /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

      Où :

      1. cassIP est l'adresse IP du nœud Cassandra.
      2. 9042 est le port Cassandra par défaut.
      3. L'utilisateur par défaut est cassandra.
      4. Le mot de passe par défaut est cassandra. Si vous avez déjà modifié le mot de passe, utilisez le mot de passe actuel. Si le mot de passe contient des caractères spéciaux, placez-le entre guillemets simples.
    2. Exécutez la commande suivante dans l'invite cqlsh> pour mettre à jour le mot de passe : 
      ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
    3. Quittez l'outil cqlsh, comme indiqué dans l'exemple suivant : 
      exit
    4. Si vous n'avez pas encore installé le serveur de gestion, les processeurs de messages, les routeurs, les serveurs Qpid ou les serveurs Postgres, définissez les propriétés suivantes dans le fichier de configuration, puis installez ces composants : 
      CASS_USERNAME=cassandra
CASS_PASSWORD=NEW_PASSWORD
    5. Si vous avez déjà installé le serveur de gestion, les processeurs de messages, les routeurs, les serveurs Qpid ou les serveurs Postgres, consultez la section Réinitialiser les mots de passe Edge pour connaître la procédure de mise à jour de ces composants afin qu'ils utilisent le nouveau mot de passe.