Cassandra-Authentifizierung aktivieren

Cassandra wird standardmäßig ohne aktivierte Authentifizierung installiert. Somit kann jeder auf Cassandra zugreifen. Sie können die Authentifizierung nach der Installation von Edge oder als Teil des Installationsprozesses aktivieren.

Wenn Sie die Authentifizierung für Cassandra aktivieren, werden die folgenden Standardanmeldedaten verwendet:

  • Nutzername = „cassandra“
  • Passwort = „cassandra“

Sie können dieses Konto verwenden, ein anderes Passwort für dieses Konto festlegen oder einen neuen Cassandra-Nutzer erstellen. Nutzer mit den Cassandra-CREATE/ALTER/DROP USER-Anweisungen hinzufügen, entfernen und ändern.

Weitere Informationen finden Sie unter Cassandra-SQL-Shell-Befehle.

Cassandra-Authentifizierung während der Installation aktivieren

Sie können die Cassandra-Authentifizierung bei der Installation aktivieren. Sie können die Authentifizierung zwar beim Installieren von Cassandra aktivieren, aber nicht den Standardnutzernamen und das Standardpasswort ändern. Sie müssen diesen Schritt nach der Installation von Cassandra manuell ausführen.

Wenn Sie die Cassandra-Authentifizierung bei der Installation aktivieren möchten, nehmen Sie das Attribut CASS_AUTH in die Konfigurationsdatei für alle Cassandra-Knoten auf:

CASS_AUTH=y # The default value is n.

Die folgenden Edge-Komponenten greifen auf Cassandra zu:

  • Verwaltungsserver
  • Message Processors
  • Router
  • Qpid-Server
  • Postgres-Server

Deshalb müssen Sie bei der Installation dieser Komponenten die folgenden Attribute in der Konfigurationsdatei festlegen, um die Cassandra-Anmeldedaten anzugeben:

CASS_USERNAME=cassandra
CASS_PASSWORD=cassandra

Sie können die Cassandra-Anmeldedaten nach der Installation ändern. Wenn Sie jedoch den Management-Server, Message Processor, Router, Qpid-Server oder Postgres-Server bereits installiert haben, müssen Sie auch diese Komponenten aktualisieren, um die neuen Anmeldedaten zu verwenden.

So ändern Sie die Cassandra-Anmeldedaten nach der Installation:

  1. Melden Sie sich mit dem cqlsh-Tool und den Standardanmeldedaten in einem beliebigen Cassandra-Knoten an. Sie müssen das Passwort nur auf einem Knoten ändern. Es wird dann an alle Cassandra-Knoten im Ring gesendet:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p cassandra

    Wobei:

    1. cassIP ist die IP-Adresse des Cassandra-Knotens.
    2. 9042 ist der Cassandra-Standardport.
    3. Der Standardnutzer ist cassandra.
    4. Das Standardpasswort ist cassandra. Wenn Sie das Passwort zuvor geändert haben, verwenden Sie das aktuelle Passwort. Wenn das Passwort Sonderzeichen enthält, setzen Sie es in einfache Anführungszeichen.
  2. Führen Sie an der Eingabeaufforderung cqlsh> den folgenden Befehl aus, um das Passwort zu aktualisieren:
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
  3. Beenden Sie das cqlsh-Tool wie im folgenden Beispiel:
    exit
  4. Wenn Sie den Verwaltungsserver, Nachrichtenprozessoren, Router, Qpid-Server oder Postgres-Server noch nicht installiert haben, legen Sie in der Konfigurationsdatei die folgenden Attribute fest und installieren Sie diese Komponenten:
    CASS_USERNAME=cassandra
    CASS_PASSWORD=NEW_PASSWORD
  5. Wenn Sie den Verwaltungsserver, Nachrichtenprozessoren, Router, Qpid-Server oder Postgres-Server bereits installiert haben, finden Sie unter Edge-Passwörter zurücksetzen eine Anleitung dazu, wie Sie diese Komponenten aktualisieren, um das neue Passwort zu verwenden.

Cassandra-Authentifizierung nach der Installation aktivieren

So aktivieren Sie die Authentifizierung nach der Installation:

Edge-Komponenten aktualisieren, die mit Cassandra verbunden sind

So aktualisieren Sie alle Edge-Komponenten, die mit Cassandra kommunizieren, mit den neuen Anmeldedaten: Führen Sie diesen Schritt aus, bevor Sie die Cassandra-Anmeldedaten aktualisieren:

  1. Führen Sie auf dem Management Server-Knoten den folgenden Befehl aus:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server
      store_cassandra_credentials -u cassandra_username -p cassandra_password

    Optional können Sie eine Datei an den Befehl übergeben, der den neuen Nutzernamen und das neue Passwort enthält:

    apigee-service edge-management-server store_cassandra_credentials  -f configFile

    Dabei enthält configFile Folgendes:

    CASS_USERNAME=cassandra_username # Default is cassandra
    CASS_PASSWORD='cassandra_password' # Default is cassandra; wrap in single quotes if it includes special chars

    Mit diesem Befehl wird der Verwaltungsserver automatisch neu gestartet.

  2. Wiederholen Sie Schritt 1 für jeden der folgenden Dienste:
    • Alle Nachrichtenprozessoren
    • Alle Router
    • Alle Qpid-Server (edge-qpid-server)
    • Postgres-Server (edge-postgres-server)

    Wenn Sie Schritt 1 für jeden Dienst wiederholen, ersetzen Sie edge-management-server im obigen Befehl durch den entsprechenden Dienstnamen. Wenn Sie den Schritt für einen Routerdienst ausführen, verwenden Sie beispielsweise den folgenden Befehl:

    /opt/apigee/apigee-service/bin/apigee-service edge-router
      store_cassandra_credentials -u cassandra -p cassandra

Authentifizierung aktivieren

Gehen Sie so vor, um die Cassandra-Authentifizierung zu aktivieren und den Nutzernamen und das Passwort festzulegen:

  1. Erstellen Sie eine stille Konfigurationsdatei mit folgendem Inhalt:
    # Specify IP address or DNS name of cassandra node
    IP1=192.168.1.1
    IP2=192.168.1.2
    IP3=192.168.1.3
    # Must resolve to IP address or DNS name of host
    HOSTIP=$(hostname -i)
    # Set to ‘y’ to enable Cassandra authentication.
    CASS_AUTH=y # Possible values are ‘y/n’
    # Cassandra username. If it does not exists, this user would be created as a SUPERUSER
    CASS_USERNAME=cassandra # Default value is cassandra
    # Cassandra Password. If CASS_USERNAME does not exist, create SUPERUSER with this as password
    CASS_PASSWORD=cassandra # Default value is cassandra
    # Space-separated IP/DNS names of the Cassandra hosts
    CASS_HOSTS="$IP1:1,1 $IP2:1,1 $IP3:1,1"
    
    # Username of an existing C* user. Only needed if you have disabled or change details of the default cassandra user(‘cassandra’)
    CASS_EXISTING_USERNAME=cassandra  # The default username is cassandra
    # Password of an existing C* user. Only needed if you have disabled or change password of the default cassandra user(‘cassandra’)
    CASS_EXISTING_PASSWORD=cassandra  # The default password is cassandra
    # Cassandra port
    CASS_PORT=9042 # The default port is 9042.
  2. Melden Sie sich beim ersten Cassandra-Knoten an und führen Sie den folgenden Befehl aus:

    apigee-service apigee-cassandra enable_cassandra_authentication -f CONFIG

    Optional können Sie die Attribute als Befehlsargumente an das Skript übergeben, wie im folgenden Beispiel gezeigt:

    CASS_AUTH=y HOSTIP=$(hostname -i) CASS_PORT=9042 CASS_EXISTING_USERNAME=cassandra CASS_EXISTING_PASSWORD=cassandra CASS_USERNAME=cassandra CASS_PASSWORD=cassandra  CASS_HOSTS="192.168.1.1:1,1 192.168.1.2:1,1 192.168.1.3:1,1" apigee-service apigee-cassandra enable_cassandra_authentication

    Hinweise:

    • Für die standardmäßigen Cassandra-Anmeldedaten wird mit dem Befehl oben die Cassandra-Authentifizierung aktiviert und Cassandra neu gestartet.
    • Bei nicht standardmäßigen Anmeldedaten ändert der Befehl auch den Replikationsfaktor, erstellt einen Superuser und führt eine Reparatur von system_auth keyspace durch.
  3. Wiederholen Sie die Schritte 1 und 2 auf allen Cassandra-Knoten.