לאחר השלמת ההתקנה, תוכלו לאפס את הסיסמאות הבאות:
ההוראות לאיפוס של כל אחת מהסיסמאות האלה מפורטות בקטעים הבאים.
איפוס הסיסמה של OpenLDAP
הדרך שבה תאפסו את הסיסמה של OpenLDAP תלויה בהגדרות שלכם. בהתאם למכשיר שלכם הגדרות אישיות, ניתן להתקין את OpenLDAP כ:
- מופע יחיד של OpenLDAP המותקן בצומת של שרת הניהול. לדוגמה, הגדרת Edge עם 2 צמתים, 5 צמתים או 9 צמתים.
- מספר מופעי OpenLDAP מותקנים בצמתים של שרת ניהול, שהוגדרו עם OpenLDAP רפליקציה. לדוגמה, בתצורת Edge עם 12 צמתים.
- מספר מכונות OpenLDAP הותקנו בצמתים שלהן, שהוגדרו באמצעות OpenLDAP רפליקציה. לדוגמה, בתצורה של Edge עם 13 צמתים.
עבור מופע בודד של OpenLDAP שמותקן בשרת הניהול, מבצעים את הפקודה הבאים:
- בצומת של שרת הניהול, מריצים את הפקודה הבאה כדי ליצור את OpenLDAP החדש
סיסמה:
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap \ change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
- מריצים את הפקודה הבאה כדי לשמור את הסיסמה החדשה לצורך גישה של שרת הניהול:
/opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server \ store_ldap_credentials ‑p NEW_PASSWORD
הפקודה הזו מפעילה מחדש את שרת הניהול.
בהגדרת רפליקציית OpenLDAP כאשר OpenLDAP מותקן בשרת הניהול צמתים, צריך לבצע את השלבים שלמעלה בשני הצמתים של שרתי הניהול כדי לעדכן את סיסמה.
בהגדרת רפליקציית OpenLDAP כאשר OpenLDAP נמצא בצומת שהוא לא ניהול שרת, יש להקפיד קודם לשנות את הסיסמה בשני הצמתים של OpenLDAP, ולאחר מכן בשני הצמתים צמתים של שרתי ניהול.
איפוס סיסמת מנהל המערכת
איפוס הסיסמה של מנהל המערכת מחייב לאפס את הסיסמה בשני מקומות:
- שרת ניהול
- ממשק משתמש
כדי לאפס את סיסמת מנהל המערכת:
- עורכים את קובץ התצורה השקט שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את ההגדרות הבאות
נכסים:
APIGEE_ADMINPW=NEW_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y SMTPMAILFROM="My Company <myco@company.com>"
שימו לב שתצטרכו לכלול את מאפייני ה-SMTP כשמעבירים את הסיסמה החדשה, מאחר שכל המאפיינים בממשק המשתמש מתאפסים.
- בצומת UI, מפסיקים את ממשק המשתמש של Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- משתמשים בכלי
apigee-setup
כדי לאפס את הסיסמה בממשק המשתמש של Edge קובץ תצורה:/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (רק אם TLS מופעל בממשק המשתמש) הפעלה מחדש של TLS בממשק המשתמש של Edge בתור שמתואר במאמר הגדרת TLS לניהול UI.
- בשרת הניהול, יוצרים קובץ XML חדש. בקובץ הזה, צריך להגדיר את מזהה המשתמש כ'אדמין'
ומגדירים את הסיסמה, השם הפרטי, שם המשפחה וכתובת האימייל בפורמט הבא:
<User id="admin"> <Password><![CDATA[password]]></Password> <FirstName>first_name</FirstName> <LastName>last_name</LastName> <EmailId>email_address</EmailId> </User>
- בשרת הניהול, מריצים את הפקודה הבאה:
curl -u "admin_email_address:admin_password" -H \ "Content-Type: application/xml" -H "Accept: application/json" -X POST \ "http://localhost:8080/v1/users/admin_email_address" -d @your_data_file
כאשר your_data_file הוא הקובץ שיצרתם בשלב הקודם.
Edge מעדכן את סיסמת האדמין שלך בשרת הניהול.
- מוחקים את קובץ ה-XML שיצרתם. אין לשמור סיסמאות באופן סופי במצב נקי טקסט.
בסביבה של רפליקציית OpenLDAP עם שרתי ניהול מרובים, איפוס הסיסמה בשרת ניהול אחד מעדכן את שרת הניהול השני באופן אוטומטי. עם זאת, צריך לעדכן את כל הצמתים של ממשק המשתמש של Edge בנפרד.
איפוס הסיסמה של המשתמש בארגון
כדי לאפס את הסיסמה של משתמש בארגון, אפשר להשתמש בכלי apigee-servce
כדי:
מפעילים את apigee-setup
, כמו בדוגמה הבאה:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
לדוגמה:
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md ~/Documents/utilities/README.md
למטה מוצג קובץ תצורה לדוגמה שבו ניתן להשתמש עם הסימן "-f" אפשרות:
USER_NAME=user@myCo.com USER_PWD="Foo12345" APIGEE_ADMINPW=ADMIN_PASSWORD
אפשר גם להשתמש ב-Update user API כדי לשנות את סיסמת המשתמש.
כללי סיסמאות של משתמשים בארגון וב-SysAdmin
השתמש בקטע זה כדי לאכוף את הרמה הרצויה של אורך וחוזק הסיסמה עבור ה-API שלך.
משתמשי ניהול. ההגדרות משתמשות בסדרה של הגדרות קבועות מראש (וממוספרות באופן ייחודי)
ביטויים נוספים כדי לבדוק את תוכן הסיסמה (למשל אותיות רישיות, אותיות קטנות, מספרים ותווים מיוחדים,
תווים). כתיבת ההגדרות האלה אל /opt/apigee/customer/application/management-server.properties
חדש. אם הקובץ לא קיים, יוצרים אותו.
לאחר העריכה של management-server.properties
, צריך להפעיל מחדש את שרת הניהול:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
לאחר מכן תוכלו להגדיר דירוגים של חוזק סיסמה על ידי קיבוץ שילובים שונים של הבעות פנים. לדוגמה, ניתן לקבוע שסיסמה עם לפחות סיסמה אחת גדולה ואחת לפחות דירוג החוזק של אות קטנה הוא '3', אבל שהסיסמה כוללת לפחות אות קטנה אחת אות ומספר אחד מקבלים דירוג גבוה יותר של '4'.
נכס | תיאור |
---|---|
conf_security_password.validation.minimum.password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum.rating.required=3 |
השתמשו בהם כדי לקבוע את המאפיינים הכלליים של סיסמאות חוקיות. ברירת המחדל הדירוג המינימלי של חוזק הסיסמה (כפי שמתואר בהמשך בטבלה) הוא 3. חשוב לשים לב שהערך password.verificationation.default.rating=2 נמוך מהדירוג המינימלי. כלומר, אם סיסמה שהוזנה לא עומדת בכללים להגדיר, הסיסמה סווגה כ-2 ולכן היא לא חוקית (מתחת לדירוג המינימלי מתוך 3). |
בהמשך מופיעים ביטויים רגולריים שמזהים את מאפייני הסיסמה. הערה
שכל אחת מהן ממוספרת. לדוגמה,
|
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1: כל התווים חוזרים |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: אות קטנה אחת לפחות |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3: לפחות אות גדולה אחת |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: ספרה אחת לפחות |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: לפחות תו מיוחד אחד (לא כולל קו תחתון _) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: לפחות קו תחתון אחד |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7: יותר מאות קטנה אחת |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8: יותר מאות גדולה אחת |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9: יותר מספרה אחת |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10: יותר מתו מיוחד אחד (לא כולל קו תחתון) |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11: יותר מקו תחתון אחד |
הכללים הבאים קובעים את חוזק הסיסמה על סמך התוכן של הסיסמה. כל כלל כולל לפחות ביטוי רגולרי אחד מהקטע הקודם ומקצה עוצמת מספרים. מתבצעת השוואה בין החוזק המספרי של סיסמה המספר conf_security_password.identityation.minimum.rating.required co.il, בחלק העליון של הקובץ זה כדי לקבוע אם סיסמה חוקית. |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
כל כלל ממוספר. לדוגמה,
כל כלל משתמש בפורמט הבא (ימין לסימן השווה): regex-index-list,[AND|OR],rating regex-index-list הוא רשימת הביטויים הרגולריים (לפי מספר מ-
הקטע הקודם), וגם את האופרטור rating הוא הדירוג המספרי של החוזק שניתן לכל כלל. לדוגמה, כלל 5 פירושו שכל סיסמה שמכילה לפחות תו מיוחד אחד או תו אחד
הקו התחתון מקבל דירוג חוזק של 4. באמצעות |
conf_security_rbac.password.validation.enabled=true |
הגדרת אימות הסיסמה של בקרת הגישה מבוססת-התפקיד כ-FALSE בכניסה יחידה (SSO) מופעלת. ברירת המחדל היא True. |
איפוס הסיסמה של Cassandra
כברירת מחדל, המשלוח של Cassandra נשלח כשהאימות מושבת. אם תפעילו את האימות,
משתמש במשתמש מוגדר מראש בשם cassandra
עם סיסמה של cassandra
. אפשר להשתמש בחשבון הזה,
צריך להגדיר סיסמה אחרת לחשבון הזה או ליצור משתמש חדש ב-Cassandra. להוסיף, להסיר ו
לשנות משתמשים באמצעות הצהרות CREATE/ALTER/DROP USER
של Cassandra.
למידע על אופן ההפעלה של אימות Cassandra, ראו הפעלת אימות Cassandra.
כדי לאפס את הסיסמה של Cassandra, צריך:
- מגדירים את הסיסמה בכל צומת של Cassandra, והיא תשודר לכל חשבונות Cassandra צמתים בטבעת
- עדכון שרת הניהול, מעבדי הודעות, נתבים, שרתי Qpid ו-Postgres שרתים בכל צומת עם הסיסמה החדשה
למידע נוסף, ראו פקודות CQL.
כדי לאפס את הסיסמה של Cassandra:
- מתחברים לכל צומת של Cassandra באמצעות הכלי
cqlsh
וברירת המחדל פרטי הכניסה. צריך לשנות את הסיסמה רק בצומת אחד של Cassandra, והיא תהיה שידור לכל הצמתים של Cassandra בזירה:/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p 'cassandra'
כאשר:
cassIP
היא כתובת ה-IP של צומת Cassandra.9042
הוא נמל קסנדרה.- משתמש ברירת המחדל הוא
cassandra
. - סיסמת ברירת המחדל היא '
cassandra
'. אם שיניתם את הסיסמה בעבר, להשתמש בסיסמה הנוכחית. אם הסיסמה מכילה תווים מיוחדים, צריך לארוז את המונח במירכאות יחידות.
- כדי לעדכן את הסיסמה, מריצים את הפקודה הבאה בתור הבקשה של
cqlsh>
:ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
אם הסיסמה החדשה מכילה תו גרש יחיד, יש לסמן אותה בתו בריחה (escape) לפניה בתו של גרש בודד.
- כדי לצאת מהכלי
cqlsh
:exit
- בצומת של שרת הניהול, מריצים את הפקודה הבאה:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p 'CASS_PASSWORD'
אפשר גם להעביר קובץ לפקודה שמכילה את שם המשתמש והסיסמה החדשים:
apigee-service edge-management-server store_cassandra_credentials -f configFile
כאשר configFile מכיל את הדברים הבאים:
CASS_USERNAME=CASS_USERNAME CASS_PASSWORD='CASS_PASSWROD'
הפקודה הזו מפעילה מחדש את שרת הניהול באופן אוטומטי.
- חוזרים על שלב 4 ב:
- כל מעבדי ההודעות
- כל הנתבים
- כל שרתי ה-Qpid (קצה-qpid-server)
- שרתי Postgres (end-postgres-server)
הסיסמה של Cassandra השתנתה.
איפוס הסיסמה ב-PostgreSQL
כברירת מחדל, במסד הנתונים של PostgreSQL מוגדרים שני משתמשים: postgres
ו-apigee
.
לשני המשתמשים יש סיסמת ברירת מחדל של postgres
. יש לפעול לפי התהליך הבא כדי לשנות את
סיסמת ברירת מחדל.
שינוי הסיסמה בכל הצמתים הראשיים של Postgres. אם הגדרתם שני שרתי Postgres במצב מאסטר/המתנה, צריך לשנות את הסיסמה רק בצומת הראשי. צפייה הגדרה של רפליקציית המתנה ראשית ל-Postgres לקבלת מידע נוסף.
- בצומת Master Postgres, משנים את הספריות ל-
/opt/apigee/apigee-postgresql/pgsql/bin
- מגדירים את סיסמת המשתמש של
postgres
ב-PostgreSQL:- מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
psql -h localhost -d apigee -U postgres
- כשמוצגת הנחיה, מזינים את סיסמת המשתמש הקיימת של
postgres
בתורpostgres
. - בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את ברירת המחדל.
סיסמה:
ALTER USER postgres WITH PASSWORD 'new_password';
לאחר הצלחה, PostgreSQL מגיב עם הדברים הבאים:
ALTER ROLE
- יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה הבאה:
\q
- מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
- מגדירים את סיסמת המשתמש של
apigee
ב-PostgreSQL:- מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
psql -h localhost -d apigee -U apigee
- כשמופיעה בקשה, מזינים את סיסמת המשתמש של
apigee
בתורpostgres
. - בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את ברירת המחדל.
סיסמה:
ALTER USER apigee WITH PASSWORD 'new_password';
- יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה:
\q
אפשר להגדיר את
postgres
ו-apigee
של המשתמשים לאותו ערך או ערכים. - מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
- הגדרה של
APIGEE_HOME
:export APIGEE_HOME=/opt/apigee/edge-postgres-server
- להצפין את הסיסמה החדשה:
sh /opt/apigee/edge-analytics/utils/scripts/utilities/passwordgen.sh new_password
הפקודה הזו מחזירה סיסמה מוצפנת. הסיסמה המוצפנת מתחילה אחרי ":" ולא כולל את ":"; לדוגמה, הסיסמה המוצפנת עבור "apigee1234" היא:
Encrypted string:WheaR8U4OeMEM11erxA3Cw==
- מעדכנים את הצומת של שרת הניהול בסיסמאות המוצפנות החדשות של
postgres
ו-apigee
משתמשים.- בשרת הניהול, משנים את הספרייה ל-
/opt/apigee/customer/application
- עורכים את הקובץ
management-server.properties
כדי להגדיר את המאפיינים הבאים. אם הקובץ הזה לא קיים, יוצרים אותו. - חשוב לוודא שהקובץ נמצא בבעלות של משתמש
apigee
:chown apigee:apigee management-server.properties
- בשרת הניהול, משנים את הספרייה ל-
- עדכון כל הצמתים של שרת Postgres ו-Qpid Server באמצעות הסיסמה המוצפנת החדשה.
- בצומת Postgres Server או Qpid Server, משנים את הספרייה הבאה:
/opt/apigee/customer/application
- פותחים את הקבצים הבאים לעריכה:
postgres-server.properties
qpid-server.properties
אם הקבצים האלה לא קיימים, צריך ליצור אותם.
- מוסיפים לקבצים את המאפיינים הבאים:
conf_pg-agent_password=newEncryptedPasswordForPostgresUser
conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- חשוב לוודא שהקבצים הם בבעלות של משתמש
apigee
:chown apigee:apigee postgres-server.properties
chown apigee:apigee qpid-server.properties
- בצומת Postgres Server או Qpid Server, משנים את הספרייה הבאה:
- לעדכן את רכיב ה-SSO (אם האפשרות SSO מופעלת):
צריך להתחבר לצומת שבו נמצא הרכיב
apigee-sso
או להתחבר לצומת הזה ריצה. הוא נקרא גם שרת SSO.בהתקנות AIO או 3 צמתים, הצומת הזה הוא אותו הצומת של ה-Management שרת.
אם יש לך מספר צמתים שמריצים את הרכיב
apigee-sso
, עליך מבצעים את השלבים האלה בכל צומת.- פותחים את הקובץ הבא לעריכה:
/opt/apigee/customer/application/sso.properties
אם הקובץ לא קיים, יוצרים אותו.
- מוסיפים את השורה הבאה לקובץ:
conf_uaa_database_password=new_password_in_plain_text
לדוגמה:
conf_uaa_database_password=apigee1234
- מריצים את הפקודה הבאה כדי להחיל את שינויי ההגדרות
רכיב
apigee-sso
:/opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
- חוזרים על השלבים האלה לכל שרת SSO.
- תצטרכו להפעיל מחדש את הרכיבים הבאים לפי הסדר הבא:
- מסד נתונים של PostgreSQL:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
- שרת Qpid:
/opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
- שרת Postgres:
/opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
- שרת ניהול:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- שרת SSO:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart
- מסד נתונים של PostgreSQL: