Resetowanie haseł Edge

Po ukończeniu instalacji możesz zresetować te hasła:

Instrukcje resetowania każdego z tych haseł znajdują się w dalszej części tego artykułu.

Zresetuj hasło OpenLDAP

Sposób resetowania hasła OpenLDAP zależy od konfiguracji. W zależności od urządzenia Edge , OpenLDAP można zainstalować jako:

  • W węźle serwera zarządzania zainstalowano jedną instancję OpenLDAP. Na przykład w parametrze Konfiguracja Edge z 2 węzłami, 5 węzłami lub 9 węzłami.
  • Wiele instancji OpenLDAP zainstalowanych w węzłach serwera zarządzania skonfigurowanych przy użyciu OpenLDAP replikacji danych. na przykład w konfiguracji Edge z 12 węzłami.
  • Wiele instancji OpenLDAP zainstalowanych w własnych węzłach skonfigurowanych przy użyciu OpenLDAP replikacji danych. na przykład w konfiguracji Edge z 13 węzłami.

W przypadku pojedynczej instancji OpenLDAP zainstalowanej na serwerze zarządzania wykonaj :

  1. W węźle serwera zarządzania uruchom następujące polecenie, aby utworzyć nowy katalog OpenLDAP hasło:
    /opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap \ 
      change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
  2. Uruchom następujące polecenie, aby zapisać nowe hasło na potrzeby dostępu dla serwera zarządzania:
    /opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server \ 
      store_ldap_credentials ‑p NEW_PASSWORD

    To polecenie ponownie uruchomi serwer zarządzania.

W konfiguracji replikacji OpenLDAP z zainstalowanym plikiem OpenLDAP na serwerze zarządzania: węzłów, wykonaj powyższe kroki w obu węzłach serwera zarządzania, aby zaktualizować hasła.

W konfiguracji replikacji OpenLDAP, w którym OpenLDAP znajduje się w węźle innym niż Zarządzanie Server, pamiętaj, aby najpierw zmienić hasło w obu węzłach OpenLDAP, a następnie w obu węzłach. Węzły serwera zarządzania.

Resetowanie hasła administratora systemu

Zresetowanie systemowego hasła administratora wymaga zresetowania hasła w dwóch miejscach:

  • Serwer zarządzania
  • Interfejs użytkownika
.

Aby zresetować hasło administratora systemowego:

  1. Edytuj plik konfiguracji cichej użyty do zainstalowania interfejsu Edge, aby ustawić następujące ustawienia: właściwości:
    APIGEE_ADMINPW=NEW_PASSWORD
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

    Podczas przekazywania nowego hasła musisz dodać właściwości SMTP, ponieważ wszystkie zostaną zresetowane.

  2. W węźle UI zatrzymaj interfejs Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  3. Zresetuj hasło w interfejsie Edge za pomocą narzędzia apigee-setup. plik konfiguracyjny:
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  4. (Tylko jeśli protokół TLS jest włączony w UI) Włącz go ponownie w interfejsie Edge jako opisane w artykule Konfigurowanie TLS na potrzeby zarządzania
  5. Na serwerze zarządzania utwórz nowy plik XML. W tym pliku ustaw identyfikator użytkownika na „admin” i podaj hasło, imię, nazwisko i adres e-mail w tym formacie:
    <User id="admin">
      <Password><![CDATA[password]]></Password>
      <FirstName>first_name</FirstName>
      <LastName>last_name</LastName>
      <EmailId>email_address</EmailId>
    </User>
  6. Na serwerze zarządzania wykonaj następujące polecenie:
    curl -u "admin_email_address:admin_password" -H \
    "Content-Type: application/xml" -H "Accept: application/json" -X POST \
    "http://localhost:8080/v1/users/admin_email_address" -d @your_data_file
    

    Gdzie your_data_file to plik utworzony w poprzednim kroku.

    Edge aktualizuje hasło administratora na serwerze zarządzania.

  7. Usuń utworzony plik XML. Hasła nie powinny być nigdy trwale przechowywane w czystym miejscu. tekstu.

W środowisku replikacji OpenLDAP z wieloma serwerami zarządzania zresetowanie hasła na jednym serwerze zarządzania powoduje zaktualizowanie drugiego serwera zarządzania. automatycznie. Musisz jednak zaktualizować wszystkie węzły Edge UI oddzielnie.

Resetowanie hasła użytkownika organizacji

Aby zresetować hasło użytkownika organizacji, użyj narzędzia apigee-servce do: wywołaj apigee-setup, jak w tym przykładzie:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
  [-h]
  [-u USER_EMAIL]
  [-p USER_PWD]
  [-a ADMIN_EMAIL]
  [-P APIGEE_ADMINPW]
  [-f configFile]

Na przykład:

/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password 
  ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md 
  ~/Documents/utilities/README.md

Poniżej znajduje się przykładowy plik konfiguracyjny, którego możesz użyć z klawiszem „-f”. opcja:

USER_NAME=user@myCo.com
USER_PWD="Foo12345"
APIGEE_ADMINPW=ADMIN_PASSWORD

Możesz też użyć interfejsu API Update user, aby: zmień hasło użytkownika.

Reguły SysAdmin i reguł haseł użytkowników w organizacji

W tej sekcji możesz wymusić stosowanie żądanego poziomu długości i siły hasła w interfejsie API i innymi użytkownikami. Ustawienia korzystają z serii wstępnie skonfigurowanych (i jednoznacznie numerowanych) zwykłych wyrażenia sprawdzające treść hasła (takie jak wielkie litery, małe litery, cyfry i specjalne znaków). Zapisz te ustawienia, aby /opt/apigee/customer/application/management-server.properties . Jeśli plik nie istnieje, utwórz go.

Po zakończeniu edytowania pliku management-server.properties ponownie uruchom serwer zarządzania:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Następnie możesz ustawić oceny siły haseł, grupując różne kombinacje zwykłych haseł wyrażeń. Możesz na przykład określić, że hasło zawiera co najmniej jedną wielką i jeden mała litera otrzymuje ocenę siły wynoszącą „3”, ale hasło zawiera co najmniej jedną małą literę a 1 cyfra ma wyższe oceny, czyli 4.

Właściwość Opis
conf_security_password.validation.minimum.password.length=8
conf_security_password.validation.default.rating=2
conf_security_password.validation.minimum.rating.required=3

Za ich pomocą możesz określić ogólne cechy prawidłowych haseł. Domyślny minimalna ocena siły hasła (opisana w dalszej części tabeli) to 3.

Zwróć uwagę, że wartość parametrupassword.validation.default.rating=2 jest niższa niż ocena minimalna wymaganych. Oznacza to, że jeśli podane hasło nie pasuje do zasad, konfiguracji, hasło ma ocenę 2 i jest nieprawidłowe (poniżej minimalnej oceny z 3).

Poniżej znajdują się wyrażenia regularne określające cechy charakterystyczne haseł. Notatka by każdy z nich był ponumerowany. Przykład: password.validation.regex.5=... to wyrażenie numer 5. Tych numerów użyjesz w dalszej części pliku, aby ustawić różnych kombinacji określających ogólną siłę hasła.

conf_security_password.validation.regex.1=^(.)\\1+$

1: powtarzają się wszystkie znaki

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2: co najmniej jedna mała litera,

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3: co najmniej jedna wielka litera,

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4: co najmniej 1 cyfra,

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5: co najmniej jeden znak specjalny (bez podkreślenia _).

conf_security_password.validation.regex.6=^.*[_]+.*$

6: co najmniej jedno podkreślenie,

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7: więcej niż jedna mała litera

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8: więcej niż jedna wielka litera

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9: więcej niż jedna cyfra.

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10: więcej niż jeden znak specjalny (bez podkreślenia).

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11: Więcej niż jedno podkreślenie

Te reguły określają siłę hasła na podstawie jego zawartości. Każda reguła zawiera co najmniej jedno wyrażenie regularne z poprzedniej sekcji i przypisuje jego wartość liczbową. Siła liczbowa hasła jest porównywana z parametrem conf_security_password.validation.minimum.rating.required number na początku tego pliku aby sprawdzić, czy hasło jest prawidłowe.

conf_security_password.validation.rule.1=1,AND,0
conf_security_password.validation.rule.2=2,3,4,AND,4
conf_security_password.validation.rule.3=2,9,AND,4
conf_security_password.validation.rule.4=3,9,AND,4
conf_security_password.validation.rule.5=5,6,OR,4
conf_security_password.validation.rule.6=3,2,AND,3
conf_security_password.validation.rule.7=2,9,AND,3
conf_security_password.validation.rule.8=3,9,AND,3

Każda reguła jest ponumerowana. Przykład: password.validation.rule.3=... to reguła numer 3.

Każda reguła ma następujący format (po prawej stronie znaku równości):

regex-index-list,[AND|OR],rating

regex-index-list to lista wyrażeń regularnych (według liczby z poprzedniej sekcji) wraz z operatorem AND|OR (czyli wszystkich wymienionych wyrażeń albo dowolnego z nich).

rating to liczbowa ocena siły przyznawana każdej regule.

Na przykład reguła 5 oznacza, że każde hasło zawierające co najmniej jeden znak specjalny LUB jeden podkreślenie otrzymuje ocenę siły równą 4. Z: password.validation.minimum.rating.required=3 widoczne jest hasło z oceną 4.

conf_security_rbac.password.validation.enabled=true

Ustaw weryfikację hasła na podstawie roli na wartość Fałsz podczas logowania jednokrotnego jest włączona. Wartość domyślna to true (prawda).

Resetowanie hasła Cassandra

Domyślnie urządzenie Cassandra wysyła produkty z wyłączonym uwierzytelnianiem. Jeśli włączysz uwierzytelnianie, używa wstępnie zdefiniowanego użytkownika o nazwie cassandra z hasłem cassandra. Możesz używać tego konta, ustaw inne hasło do tego konta lub utwórz nowe konto użytkownika Cassandra. Dodawaj, usuwaj i modyfikować użytkowników przy użyciu instrukcji CREATE/ALTER/DROP USER systemu Cassandra.

Więcej informacji o włączaniu uwierzytelniania Cassandra znajdziesz w artykule Włączanie uwierzytelniania Cassandra.

Aby zresetować hasło Cassandra:

  • Ustawienie hasła na dowolnym węźle Cassandra zostanie przesłane do całej sieci Cassandra. węzły w pierścieniu
  • Aktualizowanie serwera zarządzania, procesorów wiadomości, routerów, serwerów Qpid i Postgres serwerów w każdym węźle z nowym hasłem.

Więcej informacji znajdziesz w artykule Polecenia CQL.

Aby zresetować hasło Cassandra:

  1. Zaloguj się do dowolnego węzła Cassandra za pomocą narzędzia cqlsh i domyślnego dane logowania. Wystarczy zmienić hasło tylko w jednym węźle Cassandra. komunikat do wszystkich węzłów Cassandra w pierścieniu:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p 'cassandra'

    Gdzie:

    • cassIP to adres IP węzła Cassandra.
    • 9042 to port Cassandra.
    • Domyślnym użytkownikiem jest cassandra.
    • Domyślne hasło to „cassandra”. Jeśli hasło zostało wcześniej zmienione, użyj obecnego hasła. Jeśli hasło zawiera znaki specjalne, musisz je zawinąć w pojedynczych cudzysłowach.
  2. Aby zaktualizować hasło, uruchom następujące polecenie w wierszu cqlsh>:
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Jeśli nowe hasło zawiera pojedynczy znak cudzysłowu, zmień jego znaczenie, poprzedzając go znakiem pojedynczy znak cudzysłowu.

  3. Zamknij narzędzie cqlsh:
    exit
  4. W węźle serwera zarządzania uruchom następujące polecenie:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p 'CASS_PASSWORD'

    Opcjonalnie do polecenia możesz przekazać plik zawierający nową nazwę użytkownika i hasło:

    apigee-service edge-management-server store_cassandra_credentials -f configFile

    Gdzie configFile zawiera:

    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD='CASS_PASSWROD'

    To polecenie automatycznie ponownie uruchomi serwer zarządzania.

  5. Powtórz krok 4 na:
    • Wszystkie procesory wiadomości
    • Wszystkie routery
    • Wszystkie serwery Qpid (edge-qpid-server)
    • Serwery Postgres (edge-postgres-server)

Hasło Cassandra zostało zmienione.

Zresetuj hasło PostgreSQL

Domyślnie baza danych PostgreSQL ma zdefiniowanych 2 użytkowników: postgres i apigee. Obaj użytkownicy mają domyślne hasło postgres. Wykonaj poniższe czynności, aby zmienić hasło domyślne.

Zmień hasło we wszystkich węzłach głównych Postgres. Jeśli masz skonfigurowane 2 serwery Postgres w trybie mastera/gotowania, wystarczy zmienić hasło tylko w węźle głównym. Zobacz Konfigurowanie replikacji w trybie gotowości do instancji głównej dla Postgres .

  1. W węźle głównym Postgres zmień katalogi na /opt/apigee/apigee-postgresql/pgsql/bin
  2. Ustaw hasło użytkownika PostgreSQL postgres:
    1. Zaloguj się do bazy danych PostgreSQL za pomocą polecenia:
      psql -h localhost -d apigee -U postgres
    2. Gdy pojawi się prośba, wpisz obecne hasło użytkownika postgres jako postgres.
    3. W wierszu polecenia PostgreSQL wpisz następujące polecenie, aby zmienić wartość domyślną hasło:
      ALTER USER postgres WITH PASSWORD 'new_password';

      Po pomyślnym zakończeniu PostgreSQL wysyła odpowiedź tym poleceniem:

      ALTER ROLE
    4. Wyjdź z bazy danych PostgreSQL, używając tego polecenia:
      \q
  3. Ustaw hasło użytkownika PostgreSQL apigee:
    1. Zaloguj się do bazy danych PostgreSQL za pomocą polecenia:
      psql -h localhost -d apigee -U apigee
    2. Gdy pojawi się prośba, jako hasło użytkownika apigee wpisz postgres.
    3. W wierszu polecenia PostgreSQL wpisz następujące polecenie, aby zmienić wartość domyślną hasło:
      ALTER USER apigee WITH PASSWORD 'new_password';
    4. Wyjdź z bazy danych PostgreSQL, używając polecenia:
      \q

    Możesz skonfigurować te zasady (postgres i apigee) użytkowników hasła o tej samej wartości lub różne .

  4. Ustaw APIGEE_HOME:
    export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Zaszyfruj nowe hasło:
    sh /opt/apigee/edge-analytics/utils/scripts/utilities/passwordgen.sh new_password

    To polecenie zwraca zaszyfrowane hasło. Zaszyfrowane hasło zaczyna się po znaku „:” i nie zawiera znaku „:”, na przykład zaszyfrowane hasło do „apigee1234” to:

    Encrypted string:WheaR8U4OeMEM11erxA3Cw==
  6. zaktualizuj węzeł serwera zarządzania o nowe zaszyfrowane hasła dla postgres i apigee użytkowników.
    1. Na serwerze zarządzania zmień katalog na /opt/apigee/customer/application
    2. Edytuj plik management-server.properties, aby ustawić poniższe właściwości. Jeśli ten plik nie istnieje, utwórz go.
    3. Sprawdź, czy plik należy do użytkownika apigee:
      chown apigee:apigee management-server.properties
  7. Zaktualizuj wszystkie węzły Postgres Server i Qpid Server, używając nowego zaszyfrowanego hasła.
    1. W węźle serwera Postgres lub serwera Qpid przejdź do tego katalogu:
      /opt/apigee/customer/application
    2. Otwórz do edycji te pliki:
      • postgres-server.properties
      • qpid-server.properties

      Jeśli te pliki nie istnieją, utwórz je.

    3. Dodaj do plików te właściwości:
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Upewnij się, że pliki należą do użytkownika apigee:
      chown apigee:apigee postgres-server.properties
      chown apigee:apigee qpid-server.properties
  8. Zaktualizuj komponent SSO (jeśli logowanie jednokrotne jest włączone):
    1. Połącz się z węzłem, w którym znajduje się komponent apigee-sso, lub zaloguj się do niego w domu. Jest to tzw. serwer SSO.

      W instalacjach AIO lub z 3 węzłami ten węzeł jest tym samym węzłem co zarządzanie Serwer

      Jeśli masz kilka węzłów działających z komponentem apigee-sso, musisz: wykonaj te czynności w każdym węźle.

    2. Otwórz ten plik do edycji:
      /opt/apigee/customer/application/sso.properties 

      Jeśli plik nie istnieje, utwórz go.

    3. Dodaj do pliku ten wiersz:
      conf_uaa_database_password=new_password_in_plain_text

      Na przykład:

      conf_uaa_database_password=apigee1234
    4. Wykonaj poniższe polecenie, aby zastosować zmiany konfiguracji w Komponent apigee-sso:
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
    5. Powtórz te czynności dla każdego serwera SSO.
  9. Ponownie uruchom te komponenty w tej kolejności:
    1. Baza danych PostgreSQL:
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Serwer Qpid:
      /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Serwer Postgres:
      /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Serwer zarządzania:
      /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    5. Serwer SSO:
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart