איפוס הסיסמאות של Edge

אחרי השלמת ההתקנה, תוכלו לאפס את הסיסמאות הבאות:

הוראות לאיפוס כל אחת מהסיסמאות האלה מופיעות בקטעים הבאים.

איפוס הסיסמה ל-OpenLDAP

איפוס הסיסמה של OpenLDAP תלוי בתצורה שקבעתם. בהתאם להגדרות שלכם ב-Edge, אפשר להתקין את OpenLDAP בתור:

  • מופע יחיד של OpenLDAP מותקן בצומת שרת הניהול. לדוגמה, בתצורת Edge עם 2 צמתים, 5 צמתים או 9 צמתים.
  • כמה מכונות OpenLDAP הותקנו בצמתים של שרת ניהול, שהוגדרו באמצעות שכפול של OpenLDAP. לדוגמה, בתצורת Edge עם 12 צמתים.
  • כמה מכונות OpenLDAP הותקנו בצמתים משלהן, שמוגדרות עם שכפול של OpenLDAP. לדוגמה, בתצורת Edge עם 13 צמתים.

עבור מופע יחיד של OpenLDAP שמותקן בשרת הניהול, בצע את הפעולות הבאות:

  1. בצומת של שרת הניהול, מריצים את הפקודה הבאה כדי ליצור את הסיסמה החדשה של OpenLDAP:
    /opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap \ 
      change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
  2. מריצים את הפקודה הבאה כדי לאחסן את הסיסמה החדשה לגישה של שרת הניהול:
    /opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server \ 
      store_ldap_credentials ‑p NEW_PASSWORD

    פקודה זו תפעיל מחדש את שרת הניהול.

בהגדרת שכפול של OpenLDAP כשמתקינים את OpenLDAP בצמתים של שרת הניהול, צריך לבצע את השלבים שלמעלה בשני הצמתים של שרת הניהול כדי לעדכן את הסיסמה.

בהגדרת שכפול של OpenLDAP כאשר OpenLDAP נמצא בצומת שאינו שרת הניהול, צריך להקפיד לשנות קודם את הסיסמה בשני צומתי OpenLDAP, ואז בשני הצמתים של שרת הניהול.

איפוס הסיסמה של מנהל המערכת

איפוס הסיסמה של מנהל המערכת מחייב לאפס את הסיסמה בשני מקומות:

  • שרת ניהול
  • UI

כדי לאפס את הסיסמה של האדמין:

  1. עורכים את קובץ התצורה השקטה שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את המאפיינים הבאים:
    APIGEE_ADMINPW=NEW_PASSWORD
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

    חשוב לזכור שצריך לכלול את מאפייני ה-SMTP כשמעבירים את הסיסמה החדשה, כי כל המאפיינים בממשק המשתמש מתאפסים.

  2. בצומת ממשק המשתמש, מפסיקים את ממשק המשתמש של Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  3. משתמשים בכלי apigee-setup כדי לאפס את הסיסמה בממשק המשתמש של Edge מקובץ התצורה:
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  4. (רק אם TLS מופעל בממשק המשתמש) הפעלה מחדש של TLS בממשק המשתמש של Edge כפי שמתואר בהגדרת TLS לממשק המשתמש לניהול.
  5. בשרת הניהול, יוצרים קובץ XML חדש. בקובץ הזה, מגדירים את מזהה המשתמש כ-"admin" ומגדירים את הסיסמה, השם הפרטי, שם המשפחה וכתובת האימייל בפורמט הבא:
    <User id="admin">
      <Password><![CDATA[password]]></Password>
      <FirstName>first_name</FirstName>
      <LastName>last_name</LastName>
      <EmailId>email_address</EmailId>
    </User>
  6. בשרת הניהול, מריצים את הפקודה הבאה:
    curl -u "admin_email_address:admin_password" -H \
    "Content-Type: application/xml" -H "Accept: application/json" -X POST \
    "http://localhost:8080/v1/users/admin_email_address" -d @your_data_file
    

    כאשר your_data_file הוא הקובץ שיצרת בשלב הקודם.

    Edge מעדכנת את סיסמת האדמין שלך בשרת הניהול.

  7. מוחקים את קובץ ה-XML שיצרתם. אין לאחסן סיסמאות באופן קבוע בטקסט ברור.

בסביבה של שכפול OpenLDAP עם כמה שרתי ניהול, איפוס הסיסמה בשרת ניהול אחד מעדכן באופן אוטומטי את שרת הניהול השני. עם זאת, צריך לעדכן את כל הצמתים של ממשק המשתמש של Edge בנפרד.

איפוס סיסמת משתמש בארגון

כדי לאפס את הסיסמה עבור משתמש בארגון, צריך להשתמש בכלי השירות apigee-servce כדי להפעיל את apigee-setup, כמו בדוגמה הבאה:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
  [-h]
  [-u USER_EMAIL]
  [-p USER_PWD]
  [-a ADMIN_EMAIL]
  [-P APIGEE_ADMINPW]
  [-f configFile]

לדוגמה:

/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password 
  ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md 
  ~/Documents/utilities/README.md

למטה מוצג קובץ תצורה לדוגמה שניתן להשתמש בו עם האפשרות ' -f':

USER_NAME=user@myCo.com
USER_PWD="Foo12345"
APIGEE_ADMINPW=ADMIN_PASSWORD

אפשר גם להשתמש ב-Update user ה-API כדי לשנות את סיסמת המשתמש.

כללי סיסמה למשתמשים בארגון וב-SysAdmin

בקטע הזה אפשר לאכוף את הרמה הרצויה של אורך וחוזק הסיסמה עבור המשתמשים בניהול ה-API. ההגדרות משתמשות בסדרה של ביטויים רגולריים שהוגדרו מראש (עם מספרים ייחודיים) כדי לבדוק את תוכן הסיסמה (כמו אותיות רישיות, אותיות קטנות, מספרים ותווים מיוחדים). יש לכתוב את ההגדרות האלה בקובץ /opt/apigee/customer/application/management-server.properties. אם הקובץ לא קיים, יוצרים אותו.

אחרי העריכה של management-server.properties, יש להפעיל מחדש את שרת הניהול:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

לאחר מכן אפשר להגדיר דירוגים של חוזק הסיסמה על ידי קיבוץ שילובים שונים של ביטויים רגולריים. לדוגמה, אפשר לקבוע שסיסמה שיש בה לפחות אות גדולה אחת ואות קטנה אחת מקבלת דירוג חוזק של 3, אבל סיסמה שיש בה לפחות אות קטנה אחת ומספר אחד מקבלת דירוג חזק יותר 4.

נכס התיאור
conf_security_password.validation.minimum.password.length=8
conf_security_password.validation.default.rating=2
conf_security_password.validation.minimum.rating.required=3

השתמשו בהם כדי לקבוע את המאפיינים הכלליים של סיסמאות חוקיות. דירוג ברירת המחדל המינימלי לחוזק הסיסמה (מתואר בהמשך בטבלה) הוא 3.

שימו לב שהערך בשדה password.validation.default.rating=2 נמוך מהדירוג המינימלי הנדרש. כלומר, אם הזנת סיסמה לא תואמת לכללים שהגדרתם, הסיסמה מסווגת כ-2 ולכן היא לא חוקית (מתחת לדירוג המינימלי של 3).

בהמשך מופיעים ביטויים רגולריים שמזהים מאפייני סיסמה. חשוב לשים לב שכל פרמטר ממוספר. לדוגמה, password.validation.regex.5=... הוא ביטוי מספר 5. המספרים האלה ישמשו אתכם בקטע מאוחר יותר בקובץ כדי להגדיר שילובים שונים שיקבעו את חוזק הסיסמה הכולל.

conf_security_password.validation.regex.1=^(.)\\1+$

1: כל התווים חוזרים על עצמם

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2: לפחות אות קטנה אחת

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3: לפחות אות גדולה אחת

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4: ספרה אחת לפחות

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5: לפחות תו מיוחד אחד (לא כולל קו תחתון _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6: לפחות קו תחתון אחד

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7: יותר מאות קטנה אחת

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8: יותר מאות גדולה אחת

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9: יותר מספרה אחת

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10: יותר מתו מיוחד אחד (לא כולל קו תחתון)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11: יותר מקו תחתון אחד

הכללים הבאים קובעים את חוזק הסיסמה על סמך התוכן שלה. כל כלל כולל ביטוי רגולרי אחד או יותר מהקטע הקודם ומקצה לו חוזק מספרי. כדי לקבוע אם הסיסמה תקפה או לא, נעשה השוואה בין החוזק המספרי של סיסמה לבין conf_security_password.validation.minimum.rating.rating.rating.rating.rating.)

conf_security_password.validation.rule.1=1,AND,0
conf_security_password.validation.rule.2=2,3,4,AND,4
conf_security_password.validation.rule.3=2,9,AND,4
conf_security_password.validation.rule.4=3,9,AND,4
conf_security_password.validation.rule.5=5,6,OR,4
conf_security_password.validation.rule.6=3,2,AND,3
conf_security_password.validation.rule.7=2,9,AND,3
conf_security_password.validation.rule.8=3,9,AND,3

כל כלל הוא ממוספר. לדוגמה, password.validation.rule.3=... הוא כלל מספר 3.

לכל כלל נעשה שימוש בפורמט הבא (מימין לסימן השווה):

regex-index-list,[AND|OR],rating

regex-index-list הוא הרשימה של הביטויים הרגולריים (לפי מספר מהקטע הקודם), יחד עם אופרטור AND|OR (כלומר, צריך להביא בחשבון את כל הביטויים המפורטים או כולם).

rating הוא דירוג העוצמה המספרי שניתן לכל כלל.

לדוגמה, כלל 5 פירושו שכל סיסמה עם תו מיוחד אחד לפחות או קו תחתון אחד מקבלת דירוג חוזק של 4. כשמופיעה password.validation.minimum.rating.required=3 בחלק העליון של הקובץ, אפשר להשתמש בסיסמה עם דירוג של 4.

conf_security_rbac.password.validation.enabled=true

להגדיר את אימות הסיסמה של בקרת גישה מבוססת-תפקיד כ-FALSE כשכניסה יחידה (SSO) מופעלת. ברירת המחדל היא TRUE.

איפוס הסיסמה של Cassandra

כברירת מחדל, Cassandra שולחת את התהליך כשהאימות מושבת. כשהאימות מופעל, הוא משתמש במשתמש מוגדר מראש בשם cassandra עם סיסמה – cassandra. יש לך אפשרות להשתמש בחשבון הזה, להגדיר סיסמה אחרת לחשבון הזה או ליצור משתמש חדש ב-Cassandra. אפשר להוסיף, להסיר ולשנות משתמשים באמצעות ההצהרות של CREATE/ALTER/DROP USER של Cassandra.

למידע על האופן שבו מפעילים אימות של Cassandra, אפשר לעיין במאמר הפעלת אימות של Cassandra.

כדי לאפס את הסיסמה של Cassandra, צריך:

  • מגדירים את הסיסמה בכל צומת של Cassandra, והיא תשודר לכל צומתי Cassandra בטבעת
  • עדכון הסיסמה החדשה לכל צומת עם שרת הניהול, מעבדי ההודעות, הנתבים, שרתי ה-Qpid ושרתי Postgres

מידע נוסף מופיע במאמר פקודות CQL.

כדי לאפס את הסיסמה של Cassandra:

  1. מתחברים לצומת אחד של Cassandra באמצעות הכלי cqlsh ופרטי הכניסה שמוגדרים כברירת מחדל. צריך לשנות רק את הסיסמה בצומת Cassandra אחד, והיא תשודר לכל צומתי Cassandra בטבעת:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p 'cassandra'

    כאשר:

    • cassIP היא כתובת ה-IP של צומת Cassandra.
    • 9042 הוא נמל Cassandra.
    • משתמש ברירת המחדל הוא cassandra.
    • סיסמת ברירת המחדל היא 'cassandra'. אם שינית את הסיסמה בעבר, יש להשתמש בסיסמה הנוכחית. אם הסיסמה מכילה תווים מיוחדים, צריך להקיף אותה במירכאות בודדות.
  2. כדי לעדכן את הסיסמה, מריצים את הפקודה הבאה בתור הבקשה של cqlsh>:
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    אם הסיסמה החדשה מכילה תו אחד של גרש, מקישים על מירכאות לפני ואחריה תו גרש יחיד.

  3. יוצאים מהכלי cqlsh:
    exit
  4. בצומת של שרת הניהול, מריצים את הפקודה הבאה:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p 'CASS_PASSWORD'

    לחלופין, אתם יכולים להעביר קובץ לפקודה שמכילה את שם המשתמש והסיסמה החדשים:

    apigee-service edge-management-server store_cassandra_credentials -f configFile

    כאשר configFile מכיל את הנתונים הבאים:

    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD='CASS_PASSWROD'

    פקודה זו תפעיל מחדש באופן אוטומטי את שרת הניהול.

  5. חוזרים על שלב 4:
    • כל מעבדי ההודעות
    • כל הנתבים
    • כל שרתי Qpid (edge-qpid-server)
    • שרתי Postgres (edge-postgres-server)

הסיסמה של Cassandra השתנתה.

איפוס הסיסמה של PostgreSQL

כברירת מחדל, במסד הנתונים של PostgreSQL מוגדרים שני משתמשים: postgres ו-apigee. לשני המשתמשים יש סיסמת ברירת מחדל היא postgres. כך משנים את סיסמת ברירת המחדל:

שינוי הסיסמה בכל צומתי המאסטר של Postgres. אם הגדרתם שני שרתי Postgres במצב ראשי/המתנה, עליך לשנות את הסיסמה רק בצומת הראשי. למידע נוסף, אפשר לקרוא את המאמר הגדרת שכפול במצב המתנה ראשי עבור Postgres .

  1. בצומת Master Postgres, משנים את הספריות ל-/opt/apigee/apigee-postgresql/pgsql/bin.
  2. מגדירים את סיסמת המשתמש של postgres ב-PostgreSQL:
    1. מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
      psql -h localhost -d apigee -U postgres
    2. כשמוצגת בקשה, מזינים את הסיסמה הקיימת של המשתמש ב-postgres בתור postgres.
    3. בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את סיסמת ברירת המחדל:
      ALTER USER postgres WITH PASSWORD 'new_password';

      לאחר הצלחה, PostgreSQL יענה להודעה הבאה:

      ALTER ROLE
    4. יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה הבאה:
      \q
  3. מגדירים את סיסמת המשתמש של apigee ב-PostgreSQL:
    1. מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
      psql -h localhost -d apigee -U apigee
    2. כשמוצגת בקשה, מזינים את סיסמת המשתמש של apigee בתור postgres.
    3. בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את סיסמת ברירת המחדל:
      ALTER USER apigee WITH PASSWORD 'new_password';
    4. יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה:
      \q

    אפשר להגדיר את אותו ערך או ערכים שונים בסיסמאות של המשתמשים ב-postgres וב-apigee.

  4. הגדרה של APIGEE_HOME:
    export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. הצפנת הסיסמה החדשה:
    sh /opt/apigee/edge-analytics/utils/scripts/utilities/passwordgen.sh new_password

    הפקודה הזו מחזירה סיסמה מוצפנת. הסיסמה המוצפנת מתחילה אחרי התו ":" ולא כוללת את הסימן ":". לדוגמה, הסיסמה המוצפנת עבור "apigee1234" היא:

    Encrypted string:WheaR8U4OeMEM11erxA3Cw==
  6. מעדכנים את הצומת של שרת הניהול בסיסמאות המוצפנות החדשות עבור המשתמשים ב-postgres וב-apigee.
    1. בשרת הניהול, משנים את הספרייה ל-/opt/apigee/customer/application.
    2. צריך לערוך את הקובץ management-server.properties כדי להגדיר את המאפיינים הבאים. אם הקובץ לא קיים, יש ליצור אותו.
    3. צריך לוודא שהקובץ בבעלות המשתמש של apigee:
      chown apigee:apigee management-server.properties
  7. עדכון כל הצמתים של שרת Postgres ושרת Qpid בסיסמה המוצפנת החדשה.
    1. בצומת שרת Postgres או שרת Qpid, משנים את הספרייה הבאה:
      /opt/apigee/customer/application
    2. פותחים את הקבצים הבאים כדי לערוך אותם:
      • postgres-server.properties
      • qpid-server.properties

      אם הקבצים האלה לא קיימים, יוצרים אותם.

    3. מוסיפים לקבצים את המאפיינים הבאים:
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. צריך לוודא שהקבצים בבעלות המשתמש apigee:
      chown apigee:apigee postgres-server.properties
      chown apigee:apigee qpid-server.properties
  8. מעדכנים את רכיב ה-SSO (אם SSO מופעל):
    1. עליך להתחבר לצומת שבו פועל הרכיב apigee-sso או להתחבר אליו. הוא נקרא גם שרת SSO.

      בהתקנות AIO או ב-3 צמתים, הצומת הזה זהה לצומת של שרת הניהול.

      אם יש לך כמה צמתים שמריצים את הרכיב apigee-sso, עליך לבצע את השלבים האלה בכל צומת.

    2. כדי לערוך את הקובץ, פותחים אותו:
      /opt/apigee/customer/application/sso.properties 

      אם הקובץ לא קיים, יוצרים אותו.

    3. מוסיפים את השורה הבאה לקובץ:
      conf_uaa_database_password=new_password_in_plain_text

      לדוגמה:

      conf_uaa_database_password=apigee1234
    4. כדי להחיל את שינויי ההגדרות האישיות על הרכיב apigee-sso, מריצים את הפקודה הבאה:
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
    5. חוזרים על השלבים האלה לכל שרת ל-SSO.
  9. מפעילים מחדש את הרכיבים הבאים לפי הסדר הבא:
    1. מסד נתונים PostgreSQL:
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. שרת Qpid:
      /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. שרת Postgres:
      /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. שרת הניהול:
      /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    5. שרת SSO:
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart