Réinitialiser les mots de passe Edge

Une fois l'installation terminée, vous pouvez réinitialiser les mots de passe suivants:

Les sections suivantes expliquent comment réinitialiser chacun de ces mots de passe.

Réinitialiser le mot de passe OpenLDAP

La façon dont vous réinitialisez le mot de passe OpenLDAP dépend de votre configuration. Selon votre Edge configuration, OpenLDAP peut être installé comme:

  • Une seule instance d'OpenLDAP installée sur le nœud du serveur de gestion. Par exemple, dans un Configuration périphérique à deux, cinq ou neuf nœuds.
  • Plusieurs instances OpenLDAP installées sur des nœuds de serveur de gestion, configurés avec OpenLDAP la réplication. (par exemple, dans une configuration périphérique à 12 nœuds).
  • Plusieurs instances OpenLDAP installées sur leurs propres nœuds, configurées avec OpenLDAP la réplication. (par exemple, dans une configuration périphérique à 13 nœuds).

Pour une seule instance d'OpenLDAP installée sur le serveur de gestion, effectuez la suivantes:

  1. Sur le nœud du serveur de gestion, exécutez la commande suivante pour créer le nouveau protocole OpenLDAP mot de passe:
    /opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap \ 
      change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
  2. Exécutez la commande suivante pour enregistrer le nouveau mot de passe qui permettra au serveur de gestion d'y accéder:
    /opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server \ 
      store_ldap_credentials ‑p NEW_PASSWORD

    Cette commande redémarre le serveur de gestion.

Dans une configuration de réplication OpenLDAP avec OpenLDAP installé sur le serveur de gestion , suivez la procédure ci-dessus sur les deux nœuds du serveur de gestion pour mettre à jour le mot de passe.

Dans une configuration de réplication OpenLDAP où OpenLDAP se trouve sur un nœud autre que Management Server, veillez à modifier d'abord le mot de passe sur les deux nœuds OpenLDAP, puis sur les deux de serveur de gestion.

Réinitialiser le mot de passe de l'administrateur système

La réinitialisation du mot de passe d'administrateur système nécessite la réinitialisation du mot de passe à deux endroits:

  • Serveur de gestion
  • UI

Pour réinitialiser le mot de passe d'administrateur système:

  1. Modifiez le fichier de configuration silencieuse que vous avez utilisé pour installer l'interface utilisateur Edge pour définir les éléments suivants propriétés:
    APIGEE_ADMINPW=NEW_PASSWORD
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

    Notez que vous devez inclure les propriétés SMTP lors de la transmission du nouveau mot de passe, car toutes les propriétés de l'interface utilisateur sont réinitialisées.

  2. Sur le nœud d'interface utilisateur, arrêtez l'interface utilisateur Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  3. Utilisez l'utilitaire apigee-setup pour réinitialiser le mot de passe dans l'interface utilisateur Edge à partir du de configuration:
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  4. (Uniquement si TLS est activé dans l'interface utilisateur) Réactivez TLS sur l'interface utilisateur Edge en tant que décrit dans la section Configuration de TLS pour la gestion l'UI.
  5. Sur le serveur de gestion, créez un nouveau fichier XML. Dans ce fichier, définissez l'ID utilisateur sur "admin" et définissez le mot de passe, le prénom, le nom et l'adresse e-mail en respectant le format suivant:
    <User id="admin">
      <Password><![CDATA[password]]></Password>
      <FirstName>first_name</FirstName>
      <LastName>last_name</LastName>
      <EmailId>email_address</EmailId>
    </User>
  6. Sur le serveur de gestion, exécutez la commande suivante:
    curl -u "admin_email_address:admin_password" -H \
    "Content-Type: application/xml" -H "Accept: application/json" -X POST \
    "http://localhost:8080/v1/users/admin_email_address" -d @your_data_file
    

    your_data_file est le fichier que vous avez créé à l'étape précédente.

    Edge met à jour votre mot de passe administrateur sur le serveur de gestion.

  7. Supprimez le fichier XML que vous avez créé. Les mots de passe ne doivent jamais être stockés de façon permanente dans des du texte.

Dans un environnement de réplication OpenLDAP avec plusieurs serveurs de gestion, la réinitialisation du mot de passe sur un serveur de gestion entraîne la mise à jour de l'autre serveur de gestion automatiquement. Cependant, vous devez mettre à jour tous les nœuds d'interface utilisateur Edge séparément.

Réinitialiser le mot de passe de l'utilisateur de l'entreprise

Pour réinitialiser le mot de passe d'un utilisateur de l'organisation, utilisez l'utilitaire apigee-servce pour effectuer les opérations suivantes : appelez apigee-setup, comme le montre l'exemple suivant:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
  [-h]
  [-u USER_EMAIL]
  [-p USER_PWD]
  [-a ADMIN_EMAIL]
  [-P APIGEE_ADMINPW]
  [-f configFile]

Exemple :

/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password 
  ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md 
  ~/Documents/utilities/README.md

Vous trouverez ci-dessous un exemple de fichier de configuration que vous pouvez utiliser avec la commande "-f" option:

USER_NAME=user@myCo.com
USER_PWD="Foo12345"
APIGEE_ADMINPW=ADMIN_PASSWORD

Vous pouvez également utiliser l'API Update user pour modifier le mot de passe de l'utilisateur.

Règles relatives aux mots de passe des administrateurs système et des utilisateurs de l'organisation

Utilisez cette section pour appliquer les niveaux de longueur et de sécurité du mot de passe souhaités pour votre API de la gestion des clés. Les paramètres utilisent une série de paramètres standards préconfigurés (et numérotés de manière unique) pour vérifier le contenu du mot de passe (majuscules, minuscules, chiffres et caractères spéciaux caractères). Écrire ces paramètres dans /opt/apigee/customer/application/management-server.properties . Si ce fichier n'existe pas, créez-le.

Après avoir modifié management-server.properties, redémarrez le serveur de gestion:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Vous pouvez ensuite définir le niveau de sécurité du mot de passe en regroupant différentes combinaisons . Par exemple, vous pouvez déterminer qu’un mot de passe comportant au moins une majuscule et un lettre minuscule obtient un niveau de sécurité de "3", mais un mot de passe comportant au moins une lettre minuscule une lettre et un chiffre obtiennent la note "4".

Propriété Description
conf_security_password.validation.minimum.password.length=8
conf_security_password.validation.default.rating=2
conf_security_password.validation.minimum.rating.required=3

Utilisez-les pour déterminer les caractéristiques générales des mots de passe valides. La valeur par défaut la note minimale pour le niveau de sécurité du mot de passe (décrite plus loin dans le tableau) est de 3.

Notez que la valeur password.validation.default.rating=2 est inférieure à la note minimale. ce qui signifie que si un mot de passe saisi ne relève pas des règles configuré, le mot de passe est classé 2 et n'est donc pas valide (inférieur à la classification minimale sur 3).

Vous trouverez ci-dessous des expressions régulières qui identifient les caractéristiques des mots de passe. Remarque que chacune d’elles est numérotée. Par exemple : password.validation.regex.5=... correspond à l’expression numéro 5. Vous utiliserez ces numéros dans une section ultérieure du fichier pour définir différentes combinaisons qui déterminent le niveau de sécurité global du mot de passe.

conf_security_password.validation.regex.1=^(.)\\1+$

1: Tous les caractères se répètent

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2: au moins une lettre minuscule

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3: au moins une lettre majuscule

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4: au moins un chiffre

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5: au moins un caractère spécial (sans le trait de soulignement _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6: au moins un trait de soulignement

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7: plusieurs lettres minuscules

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8: plusieurs lettres majuscules

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9: plusieurs chiffres

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10: plusieurs caractères spéciaux (hors trait de soulignement)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11: plusieurs traits de soulignement

Les règles suivantes déterminent le niveau de sécurité du mot de passe en fonction de son contenu. Chaque règle inclut une ou plusieurs expressions régulières de la section précédente et attribue lui attribuer une force numérique. Le niveau de sécurité numérique d'un mot de passe est comparé conf_security_password.validation.minimum.rating.required numéro en haut de ce fichier pour déterminer la validité d'un mot de passe.

conf_security_password.validation.rule.1=1,AND,0
conf_security_password.validation.rule.2=2,3,4,AND,4
conf_security_password.validation.rule.3=2,9,AND,4
conf_security_password.validation.rule.4=3,9,AND,4
conf_security_password.validation.rule.5=5,6,OR,4
conf_security_password.validation.rule.6=3,2,AND,3
conf_security_password.validation.rule.7=2,9,AND,3
conf_security_password.validation.rule.8=3,9,AND,3

Chaque règle est numérotée. Par exemple : password.validation.rule.3=... correspond à la règle numéro 3.

Chaque règle utilise le format suivant (à droite du signe égal):

regex-index-list,[AND|OR],rating

regex-index-list est la liste des expressions régulières (par nombre, comme dans la section précédente), ainsi qu'un opérateur AND|OR (ce qui signifie que toutes les expressions énumérées ou seulement certaines).

rating est l'évaluation numérique du niveau de sécurité attribuée à chaque règle.

Par exemple, la règle 5 signifie que tout mot de passe contenant au moins un caractère spécial OU un underscore a une note de 4. Avec password.validation.minimum.rating.required=3 en haut du fichier, un mot de passe avec une note de 4 est valide.

conf_security_rbac.password.validation.enabled=true

Définir la validation des mots de passe du contrôle des accès basé sur les rôles sur "false" en cas d'authentification unique (SSO) est activé. La valeur par défaut est "true".

Réinitialiser le mot de passe Cassandra

Par défaut, l'authentification est désactivée dans le package Cassandra. Si vous activez l'authentification, utilise un utilisateur prédéfini nommé cassandra avec le mot de passe cassandra. Vous pouvez utiliser ce compte, définissez un mot de passe différent pour ce compte ou créez un utilisateur Cassandra. Ajouter, supprimer et modifier les utilisateurs à l'aide des instructions CREATE/ALTER/DROP USER de Cassandra.

Pour en savoir plus sur l'activation de l'authentification Cassandra, consultez la page Activer l'authentification Cassandra.

Pour réinitialiser le mot de passe Cassandra, procédez comme suit:

  • Définissez le mot de passe sur n'importe quel nœud Cassandra pour qu'il soit diffusé dans tous les environnements Cassandra. nœuds dans le réseau
  • Mettre à jour le serveur de gestion, les processeurs de messages, les routeurs, les serveurs Qpid et Postgres serveurs sur chaque nœud avec le nouveau mot de passe

Pour en savoir plus, consultez la page Commandes CQL.

Pour réinitialiser le mot de passe Cassandra:

  1. Connectez-vous à n'importe quel nœud Cassandra à l'aide de l'outil cqlsh et des paramètres par défaut identifiants de connexion. Il vous suffit de modifier le mot de passe d'un seul nœud Cassandra, diffuser à tous les nœuds Cassandra de l'anneau:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p 'cassandra'

    Où :

    • cassIP est l'adresse IP du nœud Cassandra.
    • 9042 correspond au port Cassandra.
    • L'utilisateur par défaut est cassandra.
    • Le mot de passe par défaut est "cassandra". Si vous avez changé le mot de passe précédemment, utiliser le mot de passe actuel. Si le mot de passe contient des caractères spéciaux, vous devez encapsuler entre guillemets simples.
  2. Exécutez la commande suivante en tant qu'invite cqlsh> pour mettre à jour le mot de passe:
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    Si le nouveau mot de passe contient un seul guillemet, échappez-le en le faisant précéder d'un guillemet "guillemet simple".

  3. Quittez l'outil cqlsh:
    exit
  4. Sur le nœud du serveur de gestion, exécutez la commande suivante:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p 'CASS_PASSWORD'

    Si vous le souhaitez, vous pouvez transmettre à la commande un fichier contenant le nouveau nom d'utilisateur et le nouveau mot de passe:

    apigee-service edge-management-server store_cassandra_credentials -f configFile

    configFile contient les éléments suivants:

    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD='CASS_PASSWROD'

    Cette commande redémarre automatiquement le serveur de gestion.

  5. Répétez l'étape 4 pour: <ph type="x-smartling-placeholder">
      </ph>
    • Tous les processeurs de messages
    • Tous les routeurs
    • Tous les serveurs Qpid (edge-qpid-server)
    • Serveurs Postgres (edge-postgres-server)

Le mot de passe Cassandra a été modifié.

Réinitialiser le mot de passe PostgreSQL

Par défaut, deux utilisateurs sont définis dans la base de données PostgreSQL: postgres et apigee. Le mot de passe par défaut des deux utilisateurs est postgres. Pour modifier le paramètre mot de passe par défaut.

Modifiez le mot de passe sur tous les nœuds maîtres Postgres. Si vous avez deux serveurs Postgres configurés en mode maître/veille, il vous suffit de modifier le mot de passe sur le nœud maître. Voir Configurer la réplication de secours pour Postgres pour en savoir plus.

  1. Sur le nœud Postgres maître, remplacez les répertoires par /opt/apigee/apigee-postgresql/pgsql/bin
  2. Définissez le mot de passe utilisateur postgres PostgreSQL: <ph type="x-smartling-placeholder">
      </ph>
    1. Connectez-vous à la base de données PostgreSQL à l'aide de la commande suivante:
      psql -h localhost -d apigee -U postgres
    2. Lorsque vous y êtes invité, saisissez postgres comme mot de passe utilisateur existant pour l'utilisateur postgres.
    3. Lorsque l'invite de commande PostgreSQL s'affiche, saisissez la commande suivante pour modifier le paramètre mot de passe:
      ALTER USER postgres WITH PASSWORD 'new_password';

      En cas de réussite, PostgreSQL renvoie la réponse suivante:

      ALTER ROLE
    4. Quittez la base de données PostgreSQL à l'aide de la commande suivante:
      \q
  3. Définissez le mot de passe utilisateur apigee PostgreSQL: <ph type="x-smartling-placeholder">
      </ph>
    1. Connectez-vous à la base de données PostgreSQL à l'aide de la commande suivante:
      psql -h localhost -d apigee -U apigee
    2. Lorsque vous y êtes invité, saisissez postgres comme mot de passe d'utilisateur apigee.
    3. Lorsque l'invite de commande PostgreSQL s'affiche, saisissez la commande suivante pour modifier le paramètre mot de passe:
      ALTER USER apigee WITH PASSWORD 'new_password';
    4. Quittez la base de données PostgreSQL à l'aide de la commande suivante:
      \q

    Vous pouvez définir les paramètres des comptes utilisateur postgres et apigee à la même valeur ou à des mots de passe différents valeurs.

  4. Définissez APIGEE_HOME:
    export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. Chiffrez le nouveau mot de passe:
    sh /opt/apigee/edge-analytics/utils/scripts/utilities/passwordgen.sh new_password

    Cette commande renvoie un mot de passe chiffré. Le mot de passe chiffré commence après le ":" et ne contient pas ":" ; par exemple, le mot de passe chiffré pour « apigee1234 » est:

    Encrypted string:WheaR8U4OeMEM11erxA3Cw==
  6. Mettez à jour le nœud du serveur de gestion avec les nouveaux mots de passe chiffrés pour le postgres et apigee.
    1. Sur le serveur de gestion, remplacez le répertoire par /opt/apigee/customer/application
    2. Modifiez le fichier management-server.properties pour définir les propriétés suivantes. Si ce fichier n'existe pas, créez-le.
    3. Assurez-vous que le fichier appartient à l'utilisateur apigee:
      chown apigee:apigee management-server.properties
  7. Mettez à jour tous les nœuds Postgres Server et Qpid Server avec le nouveau mot de passe chiffré.
    1. Sur le nœud Postgres Server ou Qpid Server, accédez au répertoire suivant:
      /opt/apigee/customer/application
    2. Ouvrez les fichiers suivants pour les modifier: <ph type="x-smartling-placeholder">
        </ph>
      • postgres-server.properties
      • qpid-server.properties

      Si ces fichiers n'existent pas, créez-les.

    3. Ajoutez les propriétés suivantes aux fichiers:
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. Assurez-vous que les fichiers appartiennent à l'utilisateur apigee:
      chown apigee:apigee postgres-server.properties
      chown apigee:apigee qpid-server.properties
  8. Mettez à jour le composant SSO (si l'authentification unique est activée): <ph type="x-smartling-placeholder">
      </ph>
    1. Connectez-vous au nœud sur lequel se trouve le composant apigee-sso en cours d'exécution. Ce serveur est également appelé serveur SSO.

      Dans les installations AIO ou à trois, ce nœud est le même que le nœud Google Cloud.

      Si plusieurs nœuds exécutent le composant apigee-sso, vous devez effectuer ces étapes sur chaque nœud.

    2. Ouvrez le fichier suivant pour le modifier:
      /opt/apigee/customer/application/sso.properties 

      Si le fichier n'existe pas, créez-le.

    3. Ajoutez la ligne suivante au fichier:
      conf_uaa_database_password=new_password_in_plain_text

      Exemple :

      conf_uaa_database_password=apigee1234
    4. Exécutez la commande suivante pour appliquer les modifications apportées à votre configuration Composant apigee-sso:
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
    5. Répétez cette procédure pour chaque serveur SSO.
  9. Redémarrez les composants suivants dans l'ordre suivant: <ph type="x-smartling-placeholder">
      </ph>
    1. Base de données PostgreSQL:
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. Serveur Qpid:
      /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. Serveur Postgres:
      /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. Serveur de gestion:
      /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    5. Serveur SSO:
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart