Po ukończeniu instalacji możesz zresetować te hasła:
Instrukcje resetowania każdego z tych haseł znajdują się w dalszej części tego artykułu.
Zresetuj hasło OpenLDAP
Sposób resetowania hasła OpenLDAP zależy od konfiguracji. W zależności od urządzenia Edge , OpenLDAP można zainstalować jako:
- W węźle serwera zarządzania zainstalowano jedną instancję OpenLDAP. Na przykład w parametrze Konfiguracja Edge z 2 węzłami, 5 węzłami lub 9 węzłami.
- Wiele instancji OpenLDAP zainstalowanych w węzłach serwera zarządzania skonfigurowanych przy użyciu OpenLDAP replikacji danych. na przykład w konfiguracji Edge z 12 węzłami.
- Wiele instancji OpenLDAP zainstalowanych w własnych węzłach skonfigurowanych przy użyciu OpenLDAP replikacji danych. na przykład w konfiguracji Edge z 13 węzłami.
W przypadku pojedynczej instancji OpenLDAP zainstalowanej na serwerze zarządzania wykonaj :
- W węźle serwera zarządzania uruchom następujące polecenie, aby utworzyć nowy katalog OpenLDAP
hasło:
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap \ change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
- Uruchom następujące polecenie, aby zapisać nowe hasło na potrzeby dostępu dla serwera zarządzania:
/opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server \ store_ldap_credentials ‑p NEW_PASSWORD
To polecenie ponownie uruchomi serwer zarządzania.
W konfiguracji replikacji OpenLDAP z zainstalowanym plikiem OpenLDAP na serwerze zarządzania: węzłów, wykonaj powyższe kroki w obu węzłach serwera zarządzania, aby zaktualizować hasła.
W konfiguracji replikacji OpenLDAP, w którym OpenLDAP znajduje się w węźle innym niż Zarządzanie Server, pamiętaj, aby najpierw zmienić hasło w obu węzłach OpenLDAP, a następnie w obu węzłach. Węzły serwera zarządzania.
Resetowanie hasła administratora systemu
Zresetowanie systemowego hasła administratora wymaga zresetowania hasła w dwóch miejscach:
- Serwer zarządzania
- Interfejs użytkownika
Aby zresetować hasło administratora systemowego:
- Edytuj plik konfiguracji cichej użyty do zainstalowania interfejsu Edge, aby ustawić następujące ustawienia:
właściwości:
APIGEE_ADMINPW=NEW_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y SMTPMAILFROM="My Company <myco@company.com>"
Podczas przekazywania nowego hasła musisz dodać właściwości SMTP, ponieważ wszystkie zostaną zresetowane.
- W węźle UI zatrzymaj interfejs Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- Zresetuj hasło w interfejsie Edge za pomocą narzędzia
apigee-setup
. plik konfiguracyjny:/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Tylko jeśli protokół TLS jest włączony w UI) Włącz go ponownie w interfejsie Edge jako opisane w artykule Konfigurowanie TLS na potrzeby zarządzania
- Na serwerze zarządzania utwórz nowy plik XML. W tym pliku ustaw identyfikator użytkownika na „admin”
i podaj hasło, imię, nazwisko i adres e-mail w tym formacie:
<User id="admin"> <Password><![CDATA[password]]></Password> <FirstName>first_name</FirstName> <LastName>last_name</LastName> <EmailId>email_address</EmailId> </User>
- Na serwerze zarządzania wykonaj następujące polecenie:
curl -u "admin_email_address:admin_password" -H \ "Content-Type: application/xml" -H "Accept: application/json" -X POST \ "http://localhost:8080/v1/users/admin_email_address" -d @your_data_file
Gdzie your_data_file to plik utworzony w poprzednim kroku.
Edge aktualizuje hasło administratora na serwerze zarządzania.
- Usuń utworzony plik XML. Hasła nie powinny być nigdy trwale przechowywane w czystym miejscu. tekstu.
W środowisku replikacji OpenLDAP z wieloma serwerami zarządzania zresetowanie hasła na jednym serwerze zarządzania powoduje zaktualizowanie drugiego serwera zarządzania. automatycznie. Musisz jednak zaktualizować wszystkie węzły Edge UI oddzielnie.
Resetowanie hasła użytkownika organizacji
Aby zresetować hasło użytkownika organizacji, użyj narzędzia apigee-servce
do:
wywołaj apigee-setup
, jak w tym przykładzie:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
Na przykład:
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md ~/Documents/utilities/README.md
Poniżej znajduje się przykładowy plik konfiguracyjny, którego możesz użyć z klawiszem „-f”. opcja:
USER_NAME=user@myCo.com USER_PWD="Foo12345" APIGEE_ADMINPW=ADMIN_PASSWORD
Możesz też użyć interfejsu API Update user, aby: zmień hasło użytkownika.
Reguły SysAdmin i reguł haseł użytkowników w organizacji
W tej sekcji możesz wymusić stosowanie żądanego poziomu długości i siły hasła w interfejsie API
i innymi użytkownikami. Ustawienia korzystają z serii wstępnie skonfigurowanych (i jednoznacznie numerowanych) zwykłych
wyrażenia sprawdzające treść hasła (takie jak wielkie litery, małe litery, cyfry i specjalne
znaków). Zapisz te ustawienia, aby /opt/apigee/customer/application/management-server.properties
. Jeśli plik nie istnieje, utwórz go.
Po zakończeniu edytowania pliku management-server.properties
ponownie uruchom serwer zarządzania:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Następnie możesz ustawić oceny siły haseł, grupując różne kombinacje zwykłych haseł wyrażeń. Możesz na przykład określić, że hasło zawiera co najmniej jedną wielką i jeden mała litera otrzymuje ocenę siły wynoszącą „3”, ale hasło zawiera co najmniej jedną małą literę a 1 cyfra ma wyższe oceny, czyli 4.
Właściwość | Opis |
---|---|
conf_security_password.validation.minimum.password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum.rating.required=3 |
Za ich pomocą możesz określić ogólne cechy prawidłowych haseł. Domyślny minimalna ocena siły hasła (opisana w dalszej części tabeli) to 3. Zwróć uwagę, że wartość parametrupassword.validation.default.rating=2 jest niższa niż ocena minimalna wymaganych. Oznacza to, że jeśli podane hasło nie pasuje do zasad, konfiguracji, hasło ma ocenę 2 i jest nieprawidłowe (poniżej minimalnej oceny z 3). |
Poniżej znajdują się wyrażenia regularne określające cechy charakterystyczne haseł. Notatka
by każdy z nich był ponumerowany. Przykład:
|
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1: powtarzają się wszystkie znaki |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: co najmniej jedna mała litera, |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3: co najmniej jedna wielka litera, |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: co najmniej 1 cyfra, |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: co najmniej jeden znak specjalny (bez podkreślenia _). |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: co najmniej jedno podkreślenie, |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7: więcej niż jedna mała litera |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8: więcej niż jedna wielka litera |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9: więcej niż jedna cyfra. |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10: więcej niż jeden znak specjalny (bez podkreślenia). |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11: Więcej niż jedno podkreślenie |
Te reguły określają siłę hasła na podstawie jego zawartości. Każda reguła zawiera co najmniej jedno wyrażenie regularne z poprzedniej sekcji i przypisuje jego wartość liczbową. Siła liczbowa hasła jest porównywana z parametrem conf_security_password.validation.minimum.rating.required number na początku tego pliku aby sprawdzić, czy hasło jest prawidłowe. |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
Każda reguła jest ponumerowana. Przykład:
Każda reguła ma następujący format (po prawej stronie znaku równości): regex-index-list,[AND|OR],rating regex-index-list to lista wyrażeń regularnych (według liczby z
poprzedniej sekcji) wraz z operatorem rating to liczbowa ocena siły przyznawana każdej regule. Na przykład reguła 5 oznacza, że każde hasło zawierające co najmniej jeden znak specjalny LUB jeden
podkreślenie otrzymuje ocenę siły równą 4. Z: |
conf_security_rbac.password.validation.enabled=true |
Ustaw weryfikację hasła na podstawie roli na wartość Fałsz podczas logowania jednokrotnego jest włączona. Wartość domyślna to true (prawda). |
Resetowanie hasła Cassandra
Domyślnie urządzenie Cassandra wysyła produkty z wyłączonym uwierzytelnianiem. Jeśli włączysz uwierzytelnianie,
używa wstępnie zdefiniowanego użytkownika o nazwie cassandra
z hasłem cassandra
. Możesz używać tego konta,
ustaw inne hasło do tego konta lub utwórz nowe konto użytkownika Cassandra. Dodawaj, usuwaj i
modyfikować użytkowników przy użyciu instrukcji CREATE/ALTER/DROP USER
systemu Cassandra.
Więcej informacji o włączaniu uwierzytelniania Cassandra znajdziesz w artykule Włączanie uwierzytelniania Cassandra.
Aby zresetować hasło Cassandra:
- Ustawienie hasła na dowolnym węźle Cassandra zostanie przesłane do całej sieci Cassandra. węzły w pierścieniu
- Aktualizowanie serwera zarządzania, procesorów wiadomości, routerów, serwerów Qpid i Postgres serwerów w każdym węźle z nowym hasłem.
Więcej informacji znajdziesz w artykule Polecenia CQL.
Aby zresetować hasło Cassandra:
- Zaloguj się do dowolnego węzła Cassandra za pomocą narzędzia
cqlsh
i domyślnego dane logowania. Wystarczy zmienić hasło tylko w jednym węźle Cassandra. komunikat do wszystkich węzłów Cassandra w pierścieniu:/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p 'cassandra'
Gdzie:
cassIP
to adres IP węzła Cassandra.9042
to port Cassandra.- Domyślnym użytkownikiem jest
cassandra
. - Domyślne hasło to „
cassandra
”. Jeśli hasło zostało wcześniej zmienione, użyj obecnego hasła. Jeśli hasło zawiera znaki specjalne, musisz je zawinąć w pojedynczych cudzysłowach.
- Aby zaktualizować hasło, uruchom następujące polecenie w wierszu
cqlsh>
:ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
Jeśli nowe hasło zawiera pojedynczy znak cudzysłowu, zmień jego znaczenie, poprzedzając go znakiem pojedynczy znak cudzysłowu.
- Zamknij narzędzie
cqlsh
:exit
- W węźle serwera zarządzania uruchom następujące polecenie:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p 'CASS_PASSWORD'
Opcjonalnie do polecenia możesz przekazać plik zawierający nową nazwę użytkownika i hasło:
apigee-service edge-management-server store_cassandra_credentials -f configFile
Gdzie configFile zawiera:
CASS_USERNAME=CASS_USERNAME CASS_PASSWORD='CASS_PASSWROD'
To polecenie automatycznie ponownie uruchomi serwer zarządzania.
- Powtórz krok 4 na:
- Wszystkie procesory wiadomości
- Wszystkie routery
- Wszystkie serwery Qpid (edge-qpid-server)
- Serwery Postgres (edge-postgres-server)
Hasło Cassandra zostało zmienione.
Zresetuj hasło PostgreSQL
Domyślnie baza danych PostgreSQL ma zdefiniowanych 2 użytkowników: postgres
i apigee
.
Obaj użytkownicy mają domyślne hasło postgres
. Wykonaj poniższe czynności, aby zmienić
hasło domyślne.
Zmień hasło we wszystkich węzłach głównych Postgres. Jeśli masz skonfigurowane 2 serwery Postgres w trybie mastera/gotowania, wystarczy zmienić hasło tylko w węźle głównym. Zobacz Konfigurowanie replikacji w trybie gotowości do instancji głównej dla Postgres .
- W węźle głównym Postgres zmień katalogi na
/opt/apigee/apigee-postgresql/pgsql/bin
- Ustaw hasło użytkownika PostgreSQL
postgres
:- Zaloguj się do bazy danych PostgreSQL za pomocą polecenia:
psql -h localhost -d apigee -U postgres
- Gdy pojawi się prośba, wpisz obecne hasło użytkownika
postgres
jakopostgres
. - W wierszu polecenia PostgreSQL wpisz następujące polecenie, aby zmienić wartość domyślną
hasło:
ALTER USER postgres WITH PASSWORD 'new_password';
Po pomyślnym zakończeniu PostgreSQL wysyła odpowiedź tym poleceniem:
ALTER ROLE
- Wyjdź z bazy danych PostgreSQL, używając tego polecenia:
\q
- Zaloguj się do bazy danych PostgreSQL za pomocą polecenia:
- Ustaw hasło użytkownika PostgreSQL
apigee
:- Zaloguj się do bazy danych PostgreSQL za pomocą polecenia:
psql -h localhost -d apigee -U apigee
- Gdy pojawi się prośba, jako hasło użytkownika
apigee
wpiszpostgres
. - W wierszu polecenia PostgreSQL wpisz następujące polecenie, aby zmienić wartość domyślną
hasło:
ALTER USER apigee WITH PASSWORD 'new_password';
- Wyjdź z bazy danych PostgreSQL, używając polecenia:
\q
Możesz skonfigurować te zasady (
postgres
iapigee
) użytkowników hasła o tej samej wartości lub różne . - Zaloguj się do bazy danych PostgreSQL za pomocą polecenia:
- Ustaw
APIGEE_HOME
:export APIGEE_HOME=/opt/apigee/edge-postgres-server
- Zaszyfruj nowe hasło:
sh /opt/apigee/edge-analytics/utils/scripts/utilities/passwordgen.sh new_password
To polecenie zwraca zaszyfrowane hasło. Zaszyfrowane hasło zaczyna się po znaku „:” i nie zawiera znaku „:”, na przykład zaszyfrowane hasło do „apigee1234” to:
Encrypted string:WheaR8U4OeMEM11erxA3Cw==
- zaktualizuj węzeł serwera zarządzania o nowe zaszyfrowane hasła dla
postgres
iapigee
użytkowników.- Na serwerze zarządzania zmień katalog na
/opt/apigee/customer/application
- Edytuj plik
management-server.properties
, aby ustawić poniższe właściwości. Jeśli ten plik nie istnieje, utwórz go. - Sprawdź, czy plik należy do użytkownika
apigee
:chown apigee:apigee management-server.properties
- Na serwerze zarządzania zmień katalog na
- Zaktualizuj wszystkie węzły Postgres Server i Qpid Server, używając nowego zaszyfrowanego hasła.
- W węźle serwera Postgres lub serwera Qpid przejdź do tego katalogu:
/opt/apigee/customer/application
- Otwórz do edycji te pliki:
postgres-server.properties
qpid-server.properties
Jeśli te pliki nie istnieją, utwórz je.
- Dodaj do plików te właściwości:
conf_pg-agent_password=newEncryptedPasswordForPostgresUser
conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- Upewnij się, że pliki należą do użytkownika
apigee
:chown apigee:apigee postgres-server.properties
chown apigee:apigee qpid-server.properties
- W węźle serwera Postgres lub serwera Qpid przejdź do tego katalogu:
- Zaktualizuj komponent SSO (jeśli logowanie jednokrotne jest włączone):
Połącz się z węzłem, w którym znajduje się komponent
apigee-sso
, lub zaloguj się do niego w domu. Jest to tzw. serwer SSO.W instalacjach AIO lub z 3 węzłami ten węzeł jest tym samym węzłem co zarządzanie Serwer
Jeśli masz kilka węzłów działających z komponentem
apigee-sso
, musisz: wykonaj te czynności w każdym węźle.- Otwórz ten plik do edycji:
/opt/apigee/customer/application/sso.properties
Jeśli plik nie istnieje, utwórz go.
- Dodaj do pliku ten wiersz:
conf_uaa_database_password=new_password_in_plain_text
Na przykład:
conf_uaa_database_password=apigee1234
- Wykonaj poniższe polecenie, aby zastosować zmiany konfiguracji w
Komponent
apigee-sso
:/opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
- Powtórz te czynności dla każdego serwera SSO.
- Ponownie uruchom te komponenty w tej kolejności:
- Baza danych PostgreSQL:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
- Serwer Qpid:
/opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
- Serwer Postgres:
/opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
- Serwer zarządzania:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Serwer SSO:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart
- Baza danych PostgreSQL: