Edge のパスワードのリセット

インストールが完了したら、次のパスワードをリセットできます。

以降のセクションで、これらの各パスワードを再設定する手順を説明します。

OpenLDAP のパスワードのリセット

OpenLDAP のパスワードをリセットする方法は、構成によって異なります。Edge の構成に応じて、OpenLDAP は次の形式でインストールできます。

  • Management Server ノードにインストールされた OpenLDAP の単一インスタンス。たとえば、2 ノード、5 ノード、9 ノードの Edge 構成の場合です。
  • 複数の OpenLDAP インスタンスを Management Server ノードにインストールし、OpenLDAP レプリケーションによって構成する。たとえば、12 ノードの Edge 構成です。
  • OpenLDAP レプリケーションが構成された複数の OpenLDAP インスタンスを独自のノードにインストール。たとえば、13 ノードの Edge 構成です。

Management Server に OpenLDAP のインスタンスが 1 つインストールされている場合は、次の操作を行います。

  1. Management Server ノードで、次のコマンドを実行して新しい OpenLDAP パスワードを作成します。
    /opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap \ 
      change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
  2. 次のコマンドを実行して、Management Server によるアクセス用の新しいパスワードを保存します。
    /opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server \ 
      store_ldap_credentials ‑p NEW_PASSWORD

    このコマンドは、Management Server を再起動します。

Management Server ノードに OpenLDAP がインストールされている OpenLDAP レプリケーション設定では、上記の手順に沿って両方の Management Server ノードでパスワードを更新します。

OpenLDAP が Management Server 以外のノードにある OpenLDAP レプリケーション設定では、まず両方の OpenLDAP ノードでパスワードを変更してから、両方の Management Server ノードでパスワードを変更します。

システム管理者パスワードを再設定する

システム管理者パスワードを再設定するには、以下の 2 つの場所でパスワードをリセットする必要があります。

  • 管理サーバー
  • UI

システム管理者パスワードを再設定するには:

  1. Edge UI のインストールに使用したサイレント構成ファイルを編集して、次のプロパティを設定します。
    APIGEE_ADMINPW=NEW_PASSWORD
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

    UI のすべてのプロパティがリセットされるため、新しいパスワードを渡すときに SMTP プロパティを含める必要があります。

  2. UI ノードで Edge UI を停止します。
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  3. apigee-setup ユーティリティを使用して、構成ファイルから Edge UI のパスワードを再設定します。
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  4. (UI で TLS が有効になっている場合のみ)管理 UI の TLS の構成の説明に従って、Edge UI で TLS を再度有効にします。
  5. Management Server で新しい XML ファイルを作成します。このファイルで、ユーザー ID を「admin」に設定し、パスワード、姓、名、メールアドレスを次の形式で定義します。
    <User id="admin">
      <Password><![CDATA[password]]></Password>
      <FirstName>first_name</FirstName>
      <LastName>last_name</LastName>
      <EmailId>email_address</EmailId>
    </User>
  6. Management Server で、次のコマンドを実行します。
    curl -u "admin_email_address:admin_password" -H \
    "Content-Type: application/xml" -H "Accept: application/json" -X POST \
    "http://localhost:8080/v1/users/admin_email_address" -d @your_data_file
    

    ここで、your_data_file は前の手順で作成したファイルです。

    Edge が Management Server の管理者パスワードを更新します。

  7. 作成した XML ファイルを削除します。クリアテキストでパスワードを永続的に保存しないでください。

複数の Management Server がある OpenLDAP レプリケーション環境では、一方の Management Server でパスワードをリセットすると、もう一方の Management Server も自動的に更新されます。ただし、すべての Edge UI ノードを個別に更新する必要があります。

組織ユーザーのパスワードを再設定する

組織ユーザーのパスワードを再設定するには、次の例のように apigee-servce ユーティリティを使用して apigee-setup を呼び出します。

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
  [-h]
  [-u USER_EMAIL]
  [-p USER_PWD]
  [-a ADMIN_EMAIL]
  [-P APIGEE_ADMINPW]
  [-f configFile]

例:

/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password 
  ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md 
  ~/Documents/utilities/README.md

以下は、「-f」オプションで使用できる構成ファイルの例です。

USER_NAME=user@myCo.com
USER_PWD="Foo12345"
APIGEE_ADMINPW=ADMIN_PASSWORD

ユーザーの更新 API を使用して、ユーザー パスワードを変更することもできます。

システム管理者と組織ユーザーのパスワード ルール

API 管理ユーザーに対して、任意のレベルのパスワードの長さと安全度を適用するには、このセクションを使用します。この設定では、事前に構成されている(一意の番号が付された)一連の正規表現を使用して、パスワードの内容(大文字、小文字、数字、特殊文字など)をチェックします。これらの設定を /opt/apigee/customer/application/management-server.properties ファイルに書き込みます。このファイルが存在しない場合は作成します。

management-server.properties を編集したら、管理サーバーを再起動します。

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

正規表現のさまざまな組み合わせをグループ化することで、パスワードの安全度を設定できます。たとえば、大文字と小文字がそれぞれ 1 文字以上のパスワードの強度は「3」、小文字と数字が 1 つ以上含まれているパスワードの強度は「4」であると判断できます。

プロパティ 説明
conf_security_password.validation.minimum.password.length=8
conf_security_password.validation.default.rating=2
conf_security_password.validation.minimum.rating.required=3

これらを使用して、有効なパスワードの全体的な特性を判断します。パスワードの安全度に関するデフォルトの最小評価(この表で後述)は 3 です。

password.validation.default.rating=2 は、必要な最小レーティングよりも低くなっています。つまり、入力したパスワードが構成済みのルールに該当しない場合、パスワードは 2 と評価され、無効となります(最小レーティングの 3 未満)。

以下は、パスワードの特性を識別する正規表現です。それぞれに番号が付いていることに注意してください。たとえば、password.validation.regex.5=... は式番号 5 です。これらの番号は、ファイルの後のセクションで使用して、全体的なパスワードの安全度を決定するさまざまな組み合わせを設定します。

conf_security_password.validation.regex.1=^(.)\\1+$

1: すべての文字を繰り返す

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2: 小文字の英字が 1 文字以上必要です

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3: 大文字が 1 文字以上

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4: 数字が 1 つ以上

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5: 特殊文字が 1 つ以上(アンダースコアの _ は除く)

conf_security_password.validation.regex.6=^.*[_]+.*$

6: アンダースコアが 1 つ以上

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7: 小文字が 2 つ以上

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8: 大文字が 2 つ以上

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9: 2 桁以上

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10: 特殊文字が 2 つ以上(アンダースコアを除く)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11: アンダースコアが複数ある

次のルールでは、パスワードの内容に基づいてパスワードの安全度を決定します。 各ルールには、前のセクションの正規表現が 1 つ以上含まれ、数値の強度が割り当てられます。パスワードの数値強度は、このファイルの先頭にある conf_security_password.validation.minimum.rating.required の数値と比較され、パスワードが有効かどうかが決定されます。

conf_security_password.validation.rule.1=1,AND,0
conf_security_password.validation.rule.2=2,3,4,AND,4
conf_security_password.validation.rule.3=2,9,AND,4
conf_security_password.validation.rule.4=3,9,AND,4
conf_security_password.validation.rule.5=5,6,OR,4
conf_security_password.validation.rule.6=3,2,AND,3
conf_security_password.validation.rule.7=2,9,AND,3
conf_security_password.validation.rule.8=3,9,AND,3

各ルールには番号が付いています。たとえば、password.validation.rule.3=... はルール番号 3 です。

各ルールでは次の形式を使用します(等号の右側)。

regex-index-list,[AND|OR],rating

regex-index-list は、正規表現(前のセクションの番号順)と AND|OR 演算子のリストです。つまり、リストにあるすべての式またはいずれかを使用します。

rating は、各ルールに与えられる強度の評価です。

たとえば、ルール 5 では、1 つ以上の特殊文字または 1 つのアンダースコアを含むパスワードの安全度は 4 に設定されます。ファイルの先頭が password.validation.minimum.rating.required=3 であれば、評価が 4 のパスワードは有効です。

conf_security_rbac.password.validation.enabled=true

シングル サインオン(SSO)が有効になっている場合、ロールベースのアクセス制御のパスワード検証を false に設定します。デフォルトは true です。

Cassandra のパスワードをリセットする

デフォルトでは、Cassandra は認証を無効にした状態で出荷されます。認証を有効にすると、定義済みユーザー cassandra とパスワード cassandra が使用されます。このアカウントを使用することも、このアカウントに別のパスワードを設定することも、新しい Cassandra ユーザーを作成することもできます。ユーザーの追加、削除、変更には、Cassandra の CREATE/ALTER/DROP USER ステートメントを使用します。

Cassandra 認証を有効にする方法については、Cassandra 認証を有効にするをご覧ください。

Cassandra のパスワードをリセットするには、次の操作を行います。

  • いずれかの Cassandra ノードにパスワードを設定すると、リング内のすべての Cassandra ノードにブロードキャストされます
  • 各ノードの Management Server、Message Processor、Router、Qpid サーバー、Postgres サーバーを新しいパスワードで更新します。

詳細については、CQL コマンドをご覧ください。

Cassandra のパスワードをリセットするには:

  1. cqlsh ツールとデフォルトの認証情報を使用して、任意の Cassandra ノードにログインします。パスワードを変更する必要があるのは 1 つの Cassandra ノードだけで、リング内のすべての Cassandra ノードにブロードキャストされます。
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p 'cassandra'

    ここで

    • cassIP は、Cassandra ノードの IP アドレスです。
    • 9042 は、Cassandra ポートです。
    • デフォルト ユーザーは cassandra です。
    • デフォルトのパスワードは「cassandra」です。以前にパスワードを変更した場合は、現在のパスワードを使用してください。パスワードに特殊文字が含まれる場合は、一重引用符で囲む必要があります。
  2. cqlsh> プロンプトとして次のコマンドを実行し、パスワードを更新します。
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    新しいパスワードに一重引用符が含まれている場合は、その前に一重引用符を付加してエスケープします。

  3. cqlsh ツールを終了します。
    exit
  4. Management Server ノードで、次のコマンドを実行します。
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p 'CASS_PASSWORD'

    必要に応じて、新しいユーザー名とパスワードを含むファイルを

    apigee-service edge-management-server store_cassandra_credentials -f configFile
    コマンドに渡すことができます。

    ここで、configFile には以下が含まれます。

    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD='CASS_PASSWROD'

    このコマンドにより、Management Server が自動的に再起動されます。

  5. 以下についてステップ 4 を繰り返します。
    • すべての Message Processor
    • すべてのルーター
    • すべての Qpid サーバー(edge-qpid-server)
    • Postgres サーバー(edge-postgres-server)

Cassandra のパスワードが変更されました。

PostgreSQL のパスワードを再設定する

デフォルトでは、PostgreSQL データベースには postgresapigee の 2 つのユーザーが定義されています。どちらのユーザーもデフォルトのパスワードは postgres です。デフォルトのパスワードを変更する手順は次のとおりです。

すべての Postgres マスターノードでパスワードを変更します。2 台の Postgres サーバーがマスター/スタンバイ モードで構成されている場合、パスワードを変更する必要があるのはマスターノード上でのみです。詳細については、Postgres のマスター / スタンバイ レプリケーションを設定する をご覧ください。

  1. マスター Postgres ノードで、ディレクトリを /opt/apigee/apigee-postgresql/pgsql/bin に変更します。
  2. PostgreSQL の postgres ユーザー パスワードを設定します。
    1. コマンドを使用して PostgreSQL データベースにログインします。
      psql -h localhost -d apigee -U postgres
    2. プロンプトが表示されたら、既存のユーザー postgres パスワードを「postgres」と入力します。
    3. PostgreSQL コマンド プロンプトで、次のコマンドを入力してデフォルトのパスワードを変更します。
      ALTER USER postgres WITH PASSWORD 'new_password';

      成功すると、PostgreSQL は次のレスポンスを返します。

      ALTER ROLE
    4. 次のコマンドを使用して PostgreSQL データベースを終了します。
      \q
  3. PostgreSQL の apigee ユーザー パスワードを設定します。
    1. コマンドを使用して PostgreSQL データベースにログインします。
      psql -h localhost -d apigee -U apigee
    2. プロンプトが表示されたら、ユーザー apigee のパスワードを「postgres」と入力します。
    3. PostgreSQL コマンド プロンプトで、次のコマンドを入力してデフォルトのパスワードを変更します。
      ALTER USER apigee WITH PASSWORD 'new_password';
    4. 次のコマンドを使用して PostgreSQL データベースを終了します。
      \q

    ユーザー postgresapigee のパスワードを同じ値または異なる値に設定できます。

  4. APIGEE_HOME を設定します。
    export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. 新しいパスワードを暗号化します。
    sh /opt/apigee/edge-analytics/utils/scripts/utilities/passwordgen.sh new_password

    このコマンドは、暗号化されたパスワードを返します。暗号化されたパスワードは「:」の後に始まり、「:」は含まれません。たとえば、「apigee1234」の暗号化パスワードは次のようになります。

    Encrypted string:WheaR8U4OeMEM11erxA3Cw==
  6. Management Server ノードで、postgres ユーザーと apigee ユーザーの新しい暗号化されたパスワードを更新します。
    1. Management Server で、/opt/apigee/customer/application ディレクトリに移動します。
    2. management-server.properties ファイルを編集して次のプロパティを設定します。このファイルが存在しない場合は作成します。
    3. ファイルのオーナーを apigee ユーザーにします。
      chown apigee:apigee management-server.properties
  7. すべての Postgres Server ノードと Qpid Server ノードを、暗号化された新しいパスワードで更新します。
    1. Postgres Server ノードまたは Qpid Server ノードで、次のディレクトリに移動します。
      /opt/apigee/customer/application
    2. 次のファイルを開いて編集します。
      • postgres-server.properties
      • qpid-server.properties

      これらのファイルが存在しない場合は作成します。

    3. 次のプロパティをファイルに追加します。
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. ファイルのオーナーを apigee ユーザーにします。
      chown apigee:apigee postgres-server.properties
      chown apigee:apigee qpid-server.properties
  8. SSO コンポーネントを更新します(SSO が有効になっている場合)。
    1. apigee-sso コンポーネントが実行されているノードに接続またはログインします。これは SSO サーバーとも呼ばれます。

      AIO または 3 ノード構成では、このノードは Management Server と同じノードです。

      複数のノードで apigee-sso コンポーネントを実行している場合は、各ノードでこれらの手順を行う必要があります。

    2. 次のファイルを開いて編集します。
      /opt/apigee/customer/application/sso.properties 

      ファイルが存在しない場合は作成します。

    3. ファイルに次の行を追加します。
      conf_uaa_database_password=new_password_in_plain_text

      例:

      conf_uaa_database_password=apigee1234
    4. 次のコマンドを実行して、構成の変更を apigee-sso コンポーネントに適用します。
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
    5. 各 SSO サーバーに対して同じ手順を繰り返します。
  9. 次のコンポーネントを次の順序で再起動します。
    1. PostgreSQL データベース:
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Qpid Server:
      /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Postgres Server:
      /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Management Server:
      /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    5. SSO サーバー:
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart