Standardmäßig wird Cassandra ohne aktivierte Authentifizierung installiert. Das bedeutet, dass jeder auf Cassandra zugreifen kann. Sie können die Authentifizierung nach der Installation von Edge oder als Teil des Installationsvorgangs aktivieren.
Sie können Nutzer mithilfe der Cassandra-CREATE/ALTER/DROP USER
-Anweisungen hinzufügen, entfernen und ändern. Weitere Informationen finden Sie unter Cassandra SQL-Shell-Befehle.
Cassandra-Authentifizierung während der Installation aktivieren
Sie können die Cassandra-Authentifizierung bei der Installation aktivieren.
Fügen Sie der Konfigurationsdatei für alle Cassandra-Knoten das Attribut CASS_AUTH
hinzu, um die Cassandra-Authentifizierung bei der Installation zu aktivieren:
CASS_AUTH=y # The default value is n.
Die folgenden Edge-Komponenten greifen auf Cassandra zu:
- Verwaltungsserver
- Message Processors
- Router
- Qpid-Server
- Postgres-Server
Wenn Sie diese Komponenten installieren, müssen Sie in der Konfigurationsdatei einen Nutzernamen und ein Passwort festlegen:
CASS_USERNAME=cassandra_username CASS_PASSWORD=cassandra_password
Sie können die Cassandra-Anmeldedaten nach der Installation von Cassandra ändern. Wenn Sie jedoch bereits den Management Server, Message Processors, Router, Qpid-Server oder Postgres-Server installiert haben, müssen Sie auch diese Komponenten aktualisieren, um die neuen Anmeldedaten zu verwenden.
So ändern Sie die Cassandra-Anmeldedaten nach der Installation von Cassandra:
- Melden Sie sich mit dem
cqlsh
-Tool und den Standardanmeldedaten bei einem beliebigen Cassandra-Knoten an. Sie müssen das Passwort nur auf einem Knoten ändern. Es wird dann an alle Cassandra-Knoten im Ring übertragen:/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra_username -p cassandra_password
Wobei:
- cassIP ist die IP-Adresse des Cassandra-Knotens.
- 9042 ist der Standard-Cassandra-Port.
- Führen Sie den folgenden Befehl in der Eingabeaufforderung
cqlsh>
aus, um das Passwort zu aktualisieren:ALTER USER cassandra_username/var> WITH PASSWORD 'new_cassandra_password';
- Beenden Sie das
cqlsh
-Tool, wie im folgenden Beispiel gezeigt:exit
- Wenn Sie den Management Server, Message Processors, Router, Qpid-Server oder Postgres-Server noch nicht installiert haben, legen Sie in der Konfigurationsdatei die folgenden Attribute fest und installieren Sie diese Komponenten:
CASS_USERNAME=cassandra_username CASS_PASSWORD=new_cassandra_password
- Wenn Sie den Verwaltungsserver, Message Processors, Router, Qpid-Server oder Postgres-Server bereits installiert haben, finden Sie unter Edge-Passwörter zurücksetzen Informationen zum Aktualisieren dieser Komponenten für die Verwendung des neuen Passworts.
Cassandra-Authentifizierung nach der Installation aktivieren
So aktivieren Sie die Authentifizierung nach einer Installation:
- Aktualisieren Sie alle Edge-Komponenten, die eine Verbindung zu Cassandra mit dem Cassandra-Nutzernamen und -Passwort herstellen.
- Aktivieren Sie die Authentifizierung auf allen Cassandra-Knoten und legen Sie den Cassandra-Nutzernamen und das Passwort auf einem beliebigen Knoten fest. Sie müssen die Anmeldedaten nur auf einem Cassandra-Knoten ändern. Sie werden dann an alle Cassandra-Knoten im Ring übertragen.
Edge-Komponenten aktualisieren, die mit Cassandra verbunden sind
Aktualisieren Sie mit dem folgenden Verfahren alle Edge-Komponenten, die mit Cassandra mit den neuen Anmeldedaten kommunizieren. Beachten Sie, dass Sie diesen Schritt ausführen, bevor Sie die Cassandra-Anmeldedaten tatsächlich aktualisieren:
- Führen Sie auf dem Verwaltungsserver-Knoten den folgenden Befehl aus:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u cassandra_username -p cassandra_password
Optional können Sie eine Datei mit dem neuen Nutzernamen und Passwort an den Befehl übergeben:
apigee-service edge-management-server store_cassandra_credentials -f configFile
Dabei enthält configFile Folgendes:
CASS_USERNAME=cassandra_username # Default is cassandra CASS_PASSWORD='cassandra_password' # Default is cassandra; wrap in single quotes if it includes special chars
Mit diesem Befehl wird der Verwaltungsserver automatisch neu gestartet.
- Wiederholen Sie Schritt 1 für jeden der folgenden Dienste:
- Alle Message Processor
- Alle Router
- Alle Qpid-Server (edge-qpid-server)
- Postgres-Server (Edge-Postgres-Server)
Wenn Sie Schritt 1 für jeden Dienst wiederholen, ersetzen Sie
edge-management-server
im obigen Befehl durch den entsprechenden Dienstnamen. Wenn Sie beispielsweise den Schritt für einen Router-Dienst ausführen, verwenden Sie den folgenden Befehl:/opt/apigee/apigee-service/bin/apigee-service edge-router store_cassandra_credentials -u cassandra -p cassandra
Authentifizierung aktivieren
Gehen Sie wie folgt vor, um die Cassandra-Authentifizierung zu aktivieren und den Nutzernamen und das Passwort festzulegen:
- Erstellen Sie eine Konfigurationsdatei im Hintergrund mit folgendem Inhalt:
# Specify IP address or DNS name of cassandra node IP1=192.168.1.1 IP2=192.168.1.2 IP3=192.168.1.3 # Must resolve to IP address or DNS name of host HOSTIP=$(hostname -i) # Set to ‘y’ to enable Cassandra authentication. CASS_AUTH=y # Possible values are ‘y/n’ # Cassandra username. If it does not exist, this user would be created as a SUPERUSER CASS_USERNAME=cassandra_username # Default value is cassandra - don't use for production # Cassandra Password. If CASS_USERNAME does not exist, create SUPERUSER with this as password CASS_PASSWORD=cassandra_password # Default value is cassandra - don't use for production # Space-separated IP/DNS names of the Cassandra hosts CASS_HOSTS="$IP1:1,1 $IP2:1,1 $IP3:1,1" # Username of an existing C* user. Only needed if you have disabled or changed details of the default cassandra user(‘cassandra’) CASS_EXISTING_USERNAME=existing_cassandra_username # Password of an existing C* user. Only needed if you have disabled or change password of the default cassandra user(‘cassandra’) CASS_EXISTING_PASSWORD=existing_cassandra_password # Cassandra port CASS_PORT=9042 # The default port is 9042.
Melden Sie sich beim ersten Cassandra-Knoten an und führen Sie den folgenden Befehl aus:
apigee-service apigee-cassandra enable_cassandra_authentication -f CONFIG
Optional können Sie die Attribute als Befehlsargumente an das Skript übergeben, wie im folgenden Beispiel gezeigt:
CASS_AUTH=y HOSTIP=$(hostname -i) CASS_PORT=9042 CASS_EXISTING_USERNAME=existing_cassandra_username CASS_EXISTING_PASSWORD=existing_cassandra_password CASS_USERNAME=cassandra_username CASS_PASSWORD=cassandra_password CASS_HOSTS="192.168.1.1:1,1 192.168.1.2:1,1 192.168.1.3:1,1" apigee-service apigee-cassandra enable_cassandra_authentication
Hinweise:
- Bei Cassandra-Standardanmeldedaten aktiviert der obige Befehl die Cassandra-Authentifizierung und startet Cassandra neu.
- Bei nicht standardmäßigen Anmeldedaten ändert der Befehl auch den Replikationsfaktor, erstellt einen Superuser und führt eine Reparatur für
system_auth keyspace
aus.
- Wiederholen Sie die Schritte 1 und 2 auf allen Cassandra-Knoten.