重設 Edge 密碼

安裝完成後,您可以重設下列密碼:

以下各節將分別提供重設這些密碼的操作說明。

重設 OpenLDAP 密碼

重設 OpenLDAP 密碼的方式取決於您的設定。視邊緣而定 設定,OpenLDAP 可以安裝為:

  • 在管理伺服器節點上安裝的單一 OpenLDAP 執行個體。例如,在 2 個節點、5 個節點或 9 節點 Edge 設定。
  • 在管理伺服器節點中安裝多個 OpenLDAP 執行個體 (使用 OpenLDAP 設定) 複製功能例如使用 12 個節點的 Edge 設定。
  • 在各自的節點中安裝多個 OpenLDAP 執行個體,並使用 OpenLDAP 設定 複製功能例如設定 13 個節點的 Edge 設定。

針對安裝在管理伺服器上的單一 OpenLDAP 執行個體,執行 包括:

  1. 在管理伺服器節點中執行下列指令,建立新的 OpenLDAP 密碼:
    /opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap \ 
      change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
  2. 執行下列指令來儲存新密碼,方便管理伺服器存取:
    /opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server \ 
      store_ldap_credentials ‑p NEW_PASSWORD

    這個指令會重新啟動管理伺服器。

在「OpenLDAP 複製設定」(已在管理伺服器上安裝 OpenLDAP) 中 節點中,請在兩個 Management Server 節點上,按照上述步驟操作,以更新 密碼。

OpenLDAP 複製設定 (OpenLDAP 位於管理以外的節點上) 伺服器,請務必先變更這兩個 OpenLDAP 節點上的密碼,再變更這兩個 OpenLDAP 節點的密碼 Management Server 節點,

重設系統管理員密碼

重設系統管理員密碼時,您必須在下列兩個地方重設密碼:

  • 管理伺服器
  • UI
,瞭解如何調查及移除這項存取權。

如何重設系統管理員密碼:

  1. 編輯用來安裝 Edge UI 的無訊息設定檔,進行下列設定 屬性:
    APIGEE_ADMINPW=NEW_PASSWORD
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

    請注意,傳送新密碼時,必須包括 SMTP 屬性,因為所有 使用者介面的所有屬性都會經過重設

  2. 在 UI 節點上停止 Edge UI:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  3. 使用 apigee-setup 公用程式重設 Edge UI 上的密碼 設定檔:
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  4. (僅在使用者介面已啟用 TLS 的情況下) 在 Edge UI 上重新啟用 TLS,如下所示: 參閱設定用於管理網域的 TLS 使用者介面
  5. 在管理伺服器上建立新的 XML 檔案。在這個檔案中,將使用者 ID 設為「admin」 ,並使用以下格式定義密碼、名字、姓氏和電子郵件地址:
    <User id="admin">
      <Password><![CDATA[password]]></Password>
      <FirstName>first_name</FirstName>
      <LastName>last_name</LastName>
      <EmailId>email_address</EmailId>
    </User>
  6. 在管理伺服器上執行下列指令:
    curl -u "admin_email_address:admin_password" -H \
    "Content-Type: application/xml" -H "Accept: application/json" -X POST \
    "http://localhost:8080/v1/users/admin_email_address" -d @your_data_file
    

    其中 your_data_file 是您在上一個步驟中建立的檔案。

    Edge 會在管理伺服器上更新管理員密碼。

  7. 刪除您建立的 XML 檔案。密碼不應永久保存清楚 文字。

在有多個管理伺服器的 OpenLDAP 複製環境中, 在某個 Management Server 重設密碼會更新其他管理伺服器 。不過,您必須個別更新所有 Edge UI 節點。

重設機構使用者密碼

如要重設機構使用者的密碼,請使用 apigee-servce 公用程式: 叫用 apigee-setup,如以下範例所示:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
  [-h]
  [-u USER_EMAIL]
  [-p USER_PWD]
  [-a ADMIN_EMAIL]
  [-P APIGEE_ADMINPW]
  [-f configFile]

例如:

/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password 
  ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md 
  ~/Documents/utilities/README.md

以下是可與「-f」搭配使用的設定檔範例選項:

USER_NAME=user@myCo.com
USER_PWD="Foo12345"
APIGEE_ADMINPW=ADMIN_PASSWORD

您也可以使用 Update user API 變更使用者密碼

SysAdmin 和機構使用者密碼規則

在這個部分強制要求 API 密碼長度和強度 管理使用者的資料這些設定會使用一系列預先設定 (且不重複的編號) 檢查密碼內容的運算式 (例如大寫、小寫、數字和特殊符號) 字元)。在「/opt/apigee/customer/application/management-server.properties」中寫入這些設定 檔案。如果該檔案不存在,請建立該檔案。

編輯 management-server.properties 後,重新啟動管理伺服器:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

隨後您可將不同的一般組合分組,以設定密碼強度等級 運算式。舉例來說,你可以判斷一組密碼中是否至少包含一個大寫和一個字母 小寫英文字母的強度評分為「3」,但密碼至少含有一個小寫英文字母 一個數字和一個數字,則會獲得較強「4」評分。

屬性 說明
conf_security_password.validation.minimum.password.length=8
conf_security_password.validation.default.rating=2
conf_security_password.validation.minimum.rating.required=3

有助於判斷有效密碼的整體特徵。預設 密碼強度的最低評分為 3 (詳見下表)。

請注意,password.validation.default.rating=2 低於最低評分 這表示如果輸入的密碼不符合您所設定的規則 設定後,密碼的分級為 2,因此無效 (低於最低評分)。 第 3 步)。

以下是識別密碼特性的規則運算式。注意事項 這些內容都會有編號例如: password.validation.regex.5=... 是 運算式編號 5您將在檔案中的後續部分使用這些數字 會決定整體密碼強度的不同組合。

conf_security_password.validation.regex.1=^(.)\\1+$

1:所有字元重複

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2:至少 1 個小寫字母

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3:至少 1 個大寫字母

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4:至少 1 個數字

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5:至少一個特殊字元 (不含底線 _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6:至少 1 個底線

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7:多個小寫字母

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8:多個大寫字母

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9:超過 1 個數字

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10:多個特殊字元 (不含底線)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11:超過一個底線

以下規則會根據密碼內容判斷密碼強度。 每項規則都會包含上一節的一或多個規則運算式,並指派 代表它的意義和強度系統會將密碼的數值強度與 這個檔案頂端的 conf_security_password.validation.minimum.rating.required 數字 判斷密碼是否有效。

conf_security_password.validation.rule.1=1,AND,0
conf_security_password.validation.rule.2=2,3,4,AND,4
conf_security_password.validation.rule.3=2,9,AND,4
conf_security_password.validation.rule.4=3,9,AND,4
conf_security_password.validation.rule.5=5,6,OR,4
conf_security_password.validation.rule.6=3,2,AND,3
conf_security_password.validation.rule.7=2,9,AND,3
conf_security_password.validation.rule.8=3,9,AND,3

每項規則都有編號。例如: password.validation.rule.3=... 是規則編號 3。

每項規則都會使用下列格式 (等號右側):

regex-index-list,[AND|OR],rating

regex-index-list 是規則運算式清單 (根據 前一節) 和 AND|OR 運算子 (也就是將 全部或任何列出的運算式)。

rating 是每項規則獲派的強度評分。

舉例來說,規則 5 代表密碼中必須包含至少 1 個特殊字元或 1 組 底線中的強度評分為 4與password.validation.minimum.rating.required=3共度的時光 在檔案頂端,標有 4 評等的密碼是有效的。

conf_security_rbac.password.validation.enabled=true

在單一登入 (SSO) 時,將角色式存取權控管密碼驗證設為 false 預設值為 true。

重設 Cassandra 密碼

根據預設,Cassandra 出貨時停用驗證功能。啟用驗證功能後, 使用了名為 cassandra 的預先定義使用者,密碼為 cassandra。你可以使用這個帳戶 請為這個帳戶設定其他密碼,或建立新的 Cassandra 使用者。新增、移除和 使用 Cassandra CREATE/ALTER/DROP USER 陳述式修改使用者。

如要瞭解如何啟用 Cassandra 驗證,請參閱啟用 Cassandra 驗證

如要重設 Cassandra 密碼,您必須:

  • 請在任一 Cassandra 節點上設定密碼,該節點將會廣播至所有 Cassandra 環形區域的節點
  • 更新管理伺服器、訊息處理器、路由器、Qpid 伺服器和 Postgres 每個節點上的伺服器,並包含新密碼

詳情請參閱 CQL 指令

如要重設 Cassandra 密碼:

  1. 使用 cqlsh 工具和預設登入任一 Cassandra 節點 憑證您只需變更一個 Cassandra 節點上的密碼 向環圈中的所有 Cassandra 節點廣播訊息:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p 'cassandra'

    在此情況下:

    • cassIP 是 Cassandra 節點的 IP 位址。
    • 9042 是 Cassandra 通訊埠。
    • 預設使用者為 cassandra
    • 預設密碼為「cassandra」。如果您之前變更密碼 使用目前的密碼。如果密碼包含特殊字元,您必須換行 。
  2. 使用 cqlsh> 提示執行下列指令,以更新密碼:
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    如果新密碼包含單引號字元,請在新密碼前面加上一個引號 單引號字元。

  3. 結束 cqlsh 工具:
    exit
  4. 在 Management Server 節點上,執行下列指令:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p 'CASS_PASSWORD'

    或者,您可以將檔案傳送至包含新使用者名稱和密碼的指令:

    apigee-service edge-management-server store_cassandra_credentials -f configFile

    其中 configFile 包含下列內容:

    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD='CASS_PASSWROD'

    這個指令會自動重新啟動管理伺服器。

  5. 重複執行步驟 4:
    • 所有訊息處理器
    • 所有路由器
    • 所有 Qpid 伺服器 (edge-qpid-server)
    • Postgres 伺服器 (edge-postgres-server)

Cassandra 密碼現已變更。

重設 PostgreSQL 密碼

根據預設,PostgreSQL 資料庫定義了兩名使用者:postgresapigee。 兩位使用者的預設密碼都是 postgres。請按照以下程序變更 預設密碼。

變更所有 Postgres 主要節點的密碼。如果您設定了兩個 Postgres 伺服器 ,只要變更主節點上的密碼即可。詳情請見 設定 Postgres 的主要待命複製功能

  1. 在 Master Postgres 節點上,將目錄變更為 /opt/apigee/apigee-postgresql/pgsql/bin
  2. 設定 PostgreSQL postgres 使用者密碼:
    1. 使用下列指令登入 PostgreSQL 資料庫:
      psql -h localhost -d apigee -U postgres
    2. 當系統提示時,輸入現有的 postgres 使用者密碼做為 postgres
    3. 在 PostgreSQL 命令提示字元中輸入下列指令,變更預設提示 密碼:
      ALTER USER postgres WITH PASSWORD 'new_password';

      成功時,PostgreSQL 會提供以下回應:

      ALTER ROLE
    4. 使用下列指令結束 PostgreSQL 資料庫:
      \q
  3. 設定 PostgreSQL apigee 使用者密碼:
    1. 使用下列指令登入 PostgreSQL 資料庫:
      psql -h localhost -d apigee -U apigee
    2. 系統提示時,輸入 postgres 使用者密碼 (apigee)。
    3. 在 PostgreSQL 命令提示字元中輸入下列指令,變更預設提示 密碼:
      ALTER USER apigee WITH PASSWORD 'new_password';
    4. 使用下列指令結束 PostgreSQL 資料庫:
      \q

    您可以設定「postgres」和「apigee」使用者將密碼設為相同的值 輕鬆分配獎金

  4. 設定 APIGEE_HOME
    export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. 將新密碼加密:
    sh /opt/apigee/edge-analytics/utils/scripts/utilities/passwordgen.sh new_password

    這個指令會傳回加密密碼。加密密碼的開頭為「:」之後 字元,且不包含「:」;例如,「apigee1234」的加密密碼 為:

    Encrypted string:WheaR8U4OeMEM11erxA3Cw==
  6. 以新的加密密碼 postgresapigee 位使用者。
    1. 在管理伺服器上,將目錄變更為 /opt/apigee/customer/application
    2. 編輯 management-server.properties 檔案來設定下列屬性。 如果這個檔案不存在,請建立該檔案。
    3. 請確認檔案擁有者為 apigee 使用者:
      chown apigee:apigee management-server.properties
  7. 使用新的加密密碼更新所有 Postgres Server 和 Qpid Server 節點。
    1. 在 Postgres Server 或 Qpid Server 節點上,變更為下列目錄:
      /opt/apigee/customer/application
    2. 開啟下列檔案進行編輯:
      • postgres-server.properties
      • qpid-server.properties

      如果這些檔案不存在,請建立這些檔案。

    3. 在檔案中新增下列屬性:
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. 請確認檔案擁有者為 apigee 使用者:
      chown apigee:apigee postgres-server.properties
      chown apigee:apigee qpid-server.properties
  8. 更新單一登入 (SSO) 元件 (如果已啟用單一登入 (SSO) 功能):
    1. 連線至或登入 apigee-sso 元件所在的節點 備用資源也稱為「SSO 伺服器」

      在 AIO 或 3 個節點安裝中,這個節點與管理 伺服器

      如果您有多個執行 apigee-sso 元件的節點,您必須 並在各節點上執行這些步驟

    2. 開啟下列檔案進行編輯:
      /opt/apigee/customer/application/sso.properties 

      如果檔案不存在,請建立一個。

    3. 在檔案中新增下列程式碼:
      conf_uaa_database_password=new_password_in_plain_text

      例如:

      conf_uaa_database_password=apigee1234
    4. 執行下列指令,將設定變更套用到 apigee-sso 元件:
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
    5. 針對每個單一登入 (SSO) 伺服器重複上述步驟。
  9. 按照下列順序重新啟動下列元件:
    1. PostgreSQL 資料庫:
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Qpid 伺服器:
      /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Postgres 伺服器:
      /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. 管理伺服器:
      /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    5. 單一登入 (SSO) 伺服器:
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart