איפוס הסיסמאות של Edge

לאחר השלמת ההתקנה, תוכלו לאפס את הסיסמאות הבאות:

ההוראות לאיפוס של כל אחת מהסיסמאות האלה מפורטות בקטעים הבאים.

איפוס הסיסמה של OpenLDAP

הדרך שבה תאפסו את הסיסמה של OpenLDAP תלויה בהגדרות שלכם. בהתאם למכשיר שלכם הגדרות אישיות, ניתן להתקין את OpenLDAP כ:

  • מופע יחיד של OpenLDAP המותקן בצומת של שרת הניהול. לדוגמה, הגדרת Edge עם 2 צמתים, 5 צמתים או 9 צמתים.
  • מספר מופעי OpenLDAP מותקנים בצמתים של שרת ניהול, שהוגדרו עם OpenLDAP רפליקציה. לדוגמה, בתצורת Edge עם 12 צמתים.
  • מספר מכונות OpenLDAP הותקנו בצמתים שלהן, שהוגדרו באמצעות OpenLDAP רפליקציה. לדוגמה, בתצורה של Edge עם 13 צמתים.

עבור מופע בודד של OpenLDAP שמותקן בשרת הניהול, מבצעים את הפקודה הבאים:

  1. בצומת של שרת הניהול, מריצים את הפקודה הבאה כדי ליצור את OpenLDAP החדש סיסמה:
    /opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap \ 
      change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
  2. מריצים את הפקודה הבאה כדי לשמור את הסיסמה החדשה לצורך גישה של שרת הניהול:
    /opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server \ 
      store_ldap_credentials ‑p NEW_PASSWORD

    הפקודה הזו מפעילה מחדש את שרת הניהול.

בהגדרת רפליקציית OpenLDAP כאשר OpenLDAP מותקן בשרת הניהול צמתים, צריך לבצע את השלבים שלמעלה בשני הצמתים של שרתי הניהול כדי לעדכן את סיסמה.

בהגדרת רפליקציית OpenLDAP כאשר OpenLDAP נמצא בצומת שהוא לא ניהול שרת, יש להקפיד קודם לשנות את הסיסמה בשני הצמתים של OpenLDAP, ולאחר מכן בשני הצמתים צמתים של שרתי ניהול.

איפוס סיסמת מנהל המערכת

איפוס הסיסמה של מנהל המערכת מחייב לאפס את הסיסמה בשני מקומות:

  • שרת ניהול
  • ממשק משתמש

כדי לאפס את סיסמת מנהל המערכת:

  1. עורכים את קובץ התצורה השקט שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את ההגדרות הבאות נכסים:
    APIGEE_ADMINPW=NEW_PASSWORD
    SMTPHOST=smtp.gmail.com
    SMTPPORT=465
    SMTPUSER=foo@gmail.com
    SMTPPASSWORD=bar
    SMTPSSL=y
    SMTPMAILFROM="My Company <myco@company.com>"

    שימו לב שתצטרכו לכלול את מאפייני ה-SMTP כשמעבירים את הסיסמה החדשה, מאחר שכל המאפיינים בממשק המשתמש מתאפסים.

  2. בצומת UI, מפסיקים את ממשק המשתמש של Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  3. משתמשים בכלי apigee-setup כדי לאפס את הסיסמה בממשק המשתמש של Edge קובץ תצורה:
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  4. (רק אם TLS מופעל בממשק המשתמש) הפעלה מחדש של TLS בממשק המשתמש של Edge בתור שמתואר במאמר הגדרת TLS לניהול UI.
  5. בשרת הניהול, יוצרים קובץ XML חדש. בקובץ הזה, צריך להגדיר את מזהה המשתמש כ'אדמין' ומגדירים את הסיסמה, השם הפרטי, שם המשפחה וכתובת האימייל בפורמט הבא:
    <User id="admin">
      <Password><![CDATA[password]]></Password>
      <FirstName>first_name</FirstName>
      <LastName>last_name</LastName>
      <EmailId>email_address</EmailId>
    </User>
  6. בשרת הניהול, מריצים את הפקודה הבאה:
    curl -u "admin_email_address:admin_password" -H \
    "Content-Type: application/xml" -H "Accept: application/json" -X POST \
    "http://localhost:8080/v1/users/admin_email_address" -d @your_data_file
    

    כאשר your_data_file הוא הקובץ שיצרתם בשלב הקודם.

    Edge מעדכן את סיסמת האדמין שלך בשרת הניהול.

  7. מוחקים את קובץ ה-XML שיצרתם. אין לשמור סיסמאות באופן סופי במצב נקי טקסט.

בסביבה של רפליקציית OpenLDAP עם שרתי ניהול מרובים, איפוס הסיסמה בשרת ניהול אחד מעדכן את שרת הניהול השני באופן אוטומטי. עם זאת, צריך לעדכן את כל הצמתים של ממשק המשתמש של Edge בנפרד.

איפוס הסיסמה של המשתמש בארגון

כדי לאפס את הסיסמה של משתמש בארגון, אפשר להשתמש בכלי apigee-servce כדי: מפעילים את apigee-setup, כמו בדוגמה הבאה:

/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password
  [-h]
  [-u USER_EMAIL]
  [-p USER_PWD]
  [-a ADMIN_EMAIL]
  [-P APIGEE_ADMINPW]
  [-f configFile]

לדוגמה:

/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password 
  ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md 
  ~/Documents/utilities/README.md

למטה מוצג קובץ תצורה לדוגמה שבו ניתן להשתמש עם הסימן "-f" אפשרות:

USER_NAME=user@myCo.com
USER_PWD="Foo12345"
APIGEE_ADMINPW=ADMIN_PASSWORD

אפשר גם להשתמש ב-Update user API כדי לשנות את סיסמת המשתמש.

כללי סיסמאות של משתמשים בארגון וב-SysAdmin

השתמש בקטע זה כדי לאכוף את הרמה הרצויה של אורך וחוזק הסיסמה עבור ה-API שלך. משתמשי ניהול. ההגדרות משתמשות בסדרה של הגדרות קבועות מראש (וממוספרות באופן ייחודי) ביטויים נוספים כדי לבדוק את תוכן הסיסמה (למשל אותיות רישיות, אותיות קטנות, מספרים ותווים מיוחדים, תווים). כתיבת ההגדרות האלה אל /opt/apigee/customer/application/management-server.properties חדש. אם הקובץ לא קיים, יוצרים אותו.

לאחר העריכה של management-server.properties, צריך להפעיל מחדש את שרת הניהול:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

לאחר מכן תוכלו להגדיר דירוגים של חוזק סיסמה על ידי קיבוץ שילובים שונים של הבעות פנים. לדוגמה, ניתן לקבוע שסיסמה עם לפחות סיסמה אחת גדולה ואחת לפחות דירוג החוזק של אות קטנה הוא '3', אבל שהסיסמה כוללת לפחות אות קטנה אחת אות ומספר אחד מקבלים דירוג גבוה יותר של '4'.

נכס תיאור
conf_security_password.validation.minimum.password.length=8
conf_security_password.validation.default.rating=2
conf_security_password.validation.minimum.rating.required=3

השתמשו בהם כדי לקבוע את המאפיינים הכלליים של סיסמאות חוקיות. ברירת המחדל הדירוג המינימלי של חוזק הסיסמה (כפי שמתואר בהמשך בטבלה) הוא 3.

חשוב לשים לב שהערך password.verificationation.default.rating=2 נמוך מהדירוג המינימלי. כלומר, אם סיסמה שהוזנה לא עומדת בכללים להגדיר, הסיסמה סווגה כ-2 ולכן היא לא חוקית (מתחת לדירוג המינימלי מתוך 3).

בהמשך מופיעים ביטויים רגולריים שמזהים את מאפייני הסיסמה. הערה שכל אחת מהן ממוספרת. לדוגמה, password.validation.regex.5=... הוא ביטוי מספר 5. צריך להשתמש במספרים האלה בקטע מאוחר יותר בקובץ כדי להגדיר שילובים שונים שקובעים את החוזק הכולל של הסיסמה.

conf_security_password.validation.regex.1=^(.)\\1+$

1: כל התווים חוזרים

conf_security_password.validation.regex.2=^.*[a-z]+.*$

2: אות קטנה אחת לפחות

conf_security_password.validation.regex.3=^.*[A-Z]+.*$

3: לפחות אות גדולה אחת

conf_security_password.validation.regex.4=^.*[0-9]+.*$

4: ספרה אחת לפחות

conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$

5: לפחות תו מיוחד אחד (לא כולל קו תחתון _)

conf_security_password.validation.regex.6=^.*[_]+.*$

6: לפחות קו תחתון אחד

conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$

7: יותר מאות קטנה אחת

conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$

8: יותר מאות גדולה אחת

conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$

9: יותר מספרה אחת

conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$

10: יותר מתו מיוחד אחד (לא כולל קו תחתון)

conf_security_password.validation.regex.11=^.*[_]{2,}.*$

11: יותר מקו תחתון אחד

הכללים הבאים קובעים את חוזק הסיסמה על סמך התוכן של הסיסמה. כל כלל כולל לפחות ביטוי רגולרי אחד מהקטע הקודם ומקצה עוצמת מספרים. מתבצעת השוואה בין החוזק המספרי של סיסמה המספר conf_security_password.identityation.minimum.rating.required co.il, בחלק העליון של הקובץ זה כדי לקבוע אם סיסמה חוקית.

conf_security_password.validation.rule.1=1,AND,0
conf_security_password.validation.rule.2=2,3,4,AND,4
conf_security_password.validation.rule.3=2,9,AND,4
conf_security_password.validation.rule.4=3,9,AND,4
conf_security_password.validation.rule.5=5,6,OR,4
conf_security_password.validation.rule.6=3,2,AND,3
conf_security_password.validation.rule.7=2,9,AND,3
conf_security_password.validation.rule.8=3,9,AND,3

כל כלל ממוספר. לדוגמה, password.validation.rule.3=... הוא כלל מספר 3.

כל כלל משתמש בפורמט הבא (ימין לסימן השווה):

regex-index-list,[AND|OR],rating

regex-index-list הוא רשימת הביטויים הרגולריים (לפי מספר מ- הקטע הקודם), וגם את האופרטור AND|OR (כלומר, את כל הביטויים המפורטים או כל אחד מהם).

rating הוא הדירוג המספרי של החוזק שניתן לכל כלל.

לדוגמה, כלל 5 פירושו שכל סיסמה שמכילה לפחות תו מיוחד אחד או תו אחד הקו התחתון מקבל דירוג חוזק של 4. באמצעות password.validation.minimum.rating.required=3 בראש הקובץ, סיסמה עם דירוג 4 תקפה.

conf_security_rbac.password.validation.enabled=true

הגדרת אימות הסיסמה של בקרת הגישה מבוססת-התפקיד כ-FALSE בכניסה יחידה (SSO) מופעלת. ברירת המחדל היא True.

איפוס הסיסמה של Cassandra

כברירת מחדל, המשלוח של Cassandra נשלח כשהאימות מושבת. אם תפעילו את האימות, משתמש במשתמש מוגדר מראש בשם cassandra עם סיסמה של cassandra. אפשר להשתמש בחשבון הזה, צריך להגדיר סיסמה אחרת לחשבון הזה או ליצור משתמש חדש ב-Cassandra. להוסיף, להסיר ו לשנות משתמשים באמצעות הצהרות CREATE/ALTER/DROP USER של Cassandra.

למידע על אופן ההפעלה של אימות Cassandra, ראו הפעלת אימות Cassandra.

כדי לאפס את הסיסמה של Cassandra, צריך:

  • מגדירים את הסיסמה בכל צומת של Cassandra, והיא תשודר לכל חשבונות Cassandra צמתים בטבעת
  • עדכון שרת הניהול, מעבדי הודעות, נתבים, שרתי Qpid ו-Postgres שרתים בכל צומת עם הסיסמה החדשה

למידע נוסף, ראו פקודות CQL.

כדי לאפס את הסיסמה של Cassandra:

  1. מתחברים לכל צומת של Cassandra באמצעות הכלי cqlsh וברירת המחדל פרטי הכניסה. צריך לשנות את הסיסמה רק בצומת אחד של Cassandra, והיא תהיה שידור לכל הצמתים של Cassandra בזירה:
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p 'cassandra'

    כאשר:

    • cassIP היא כתובת ה-IP של צומת Cassandra.
    • 9042 הוא נמל קסנדרה.
    • משתמש ברירת המחדל הוא cassandra.
    • סיסמת ברירת המחדל היא 'cassandra'. אם שיניתם את הסיסמה בעבר, להשתמש בסיסמה הנוכחית. אם הסיסמה מכילה תווים מיוחדים, צריך לארוז את המונח במירכאות יחידות.
  2. כדי לעדכן את הסיסמה, מריצים את הפקודה הבאה בתור הבקשה של cqlsh>:
    ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';

    אם הסיסמה החדשה מכילה תו גרש יחיד, יש לסמן אותה בתו בריחה (escape) לפניה בתו של גרש בודד.

  3. כדי לצאת מהכלי cqlsh:
    exit
  4. בצומת של שרת הניהול, מריצים את הפקודה הבאה:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p 'CASS_PASSWORD'

    אפשר גם להעביר קובץ לפקודה שמכילה את שם המשתמש והסיסמה החדשים:

    apigee-service edge-management-server store_cassandra_credentials -f configFile

    כאשר configFile מכיל את הדברים הבאים:

    CASS_USERNAME=CASS_USERNAME
    CASS_PASSWORD='CASS_PASSWROD'

    הפקודה הזו מפעילה מחדש את שרת הניהול באופן אוטומטי.

  5. חוזרים על שלב 4 ב:
    • כל מעבדי ההודעות
    • כל הנתבים
    • כל שרתי ה-Qpid (קצה-qpid-server)
    • שרתי Postgres (end-postgres-server)

הסיסמה של Cassandra השתנתה.

איפוס הסיסמה ב-PostgreSQL

כברירת מחדל, במסד הנתונים של PostgreSQL מוגדרים שני משתמשים: postgres ו-apigee. לשני המשתמשים יש סיסמת ברירת מחדל של postgres. יש לפעול לפי התהליך הבא כדי לשנות את סיסמת ברירת מחדל.

שינוי הסיסמה בכל הצמתים הראשיים של Postgres. אם הגדרתם שני שרתי Postgres במצב מאסטר/המתנה, צריך לשנות את הסיסמה רק בצומת הראשי. צפייה הגדרה של רפליקציית המתנה ראשית ל-Postgres לקבלת מידע נוסף.

  1. בצומת Master Postgres, משנים את הספריות ל- /opt/apigee/apigee-postgresql/pgsql/bin
  2. מגדירים את סיסמת המשתמש של postgres ב-PostgreSQL:
    1. מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
      psql -h localhost -d apigee -U postgres
    2. כשמוצגת הנחיה, מזינים את סיסמת המשתמש הקיימת של postgres בתור postgres.
    3. בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את ברירת המחדל. סיסמה:
      ALTER USER postgres WITH PASSWORD 'new_password';

      לאחר הצלחה, PostgreSQL מגיב עם הדברים הבאים:

      ALTER ROLE
    4. יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה הבאה:
      \q
  3. מגדירים את סיסמת המשתמש של apigee ב-PostgreSQL:
    1. מתחברים למסד הנתונים של PostgreSQL באמצעות הפקודה:
      psql -h localhost -d apigee -U apigee
    2. כשמופיעה בקשה, מזינים את סיסמת המשתמש של apigee בתור postgres.
    3. בשורת הפקודה של PostgreSQL, מזינים את הפקודה הבאה כדי לשנות את ברירת המחדל. סיסמה:
      ALTER USER apigee WITH PASSWORD 'new_password';
    4. יוצאים ממסד הנתונים של PostgreSQL באמצעות הפקודה:
      \q

    אפשר להגדיר את postgres ו-apigee של המשתמשים לאותו ערך או ערכים.

  4. הגדרה של APIGEE_HOME:
    export APIGEE_HOME=/opt/apigee/edge-postgres-server
  5. להצפין את הסיסמה החדשה:
    sh /opt/apigee/edge-analytics/utils/scripts/utilities/passwordgen.sh new_password

    הפקודה הזו מחזירה סיסמה מוצפנת. הסיסמה המוצפנת מתחילה אחרי ":" ולא כולל את ":"; לדוגמה, הסיסמה המוצפנת עבור "apigee1234" היא:

    Encrypted string:WheaR8U4OeMEM11erxA3Cw==
  6. מעדכנים את הצומת של שרת הניהול בסיסמאות המוצפנות החדשות של postgres ו-apigee משתמשים.
    1. בשרת הניהול, משנים את הספרייה ל- /opt/apigee/customer/application
    2. עורכים את הקובץ management-server.properties כדי להגדיר את המאפיינים הבאים. אם הקובץ הזה לא קיים, יוצרים אותו.
    3. חשוב לוודא שהקובץ נמצא בבעלות של משתמש apigee:
      chown apigee:apigee management-server.properties
  7. עדכון כל הצמתים של שרת Postgres ו-Qpid Server באמצעות הסיסמה המוצפנת החדשה.
    1. בצומת Postgres Server או Qpid Server, משנים את הספרייה הבאה:
      /opt/apigee/customer/application
    2. פותחים את הקבצים הבאים לעריכה:
      • postgres-server.properties
      • qpid-server.properties

      אם הקבצים האלה לא קיימים, צריך ליצור אותם.

    3. מוסיפים לקבצים את המאפיינים הבאים:
      • conf_pg-agent_password=newEncryptedPasswordForPostgresUser
      • conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
      • conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
      • conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
    4. חשוב לוודא שהקבצים הם בבעלות של משתמש apigee:
      chown apigee:apigee postgres-server.properties
      chown apigee:apigee qpid-server.properties
  8. לעדכן את רכיב ה-SSO (אם האפשרות SSO מופעלת):
    1. צריך להתחבר לצומת שבו נמצא הרכיב apigee-sso או להתחבר לצומת הזה ריצה. הוא נקרא גם שרת SSO.

      בהתקנות AIO או 3 צמתים, הצומת הזה הוא אותו הצומת של ה-Management שרת.

      אם יש לך מספר צמתים שמריצים את הרכיב apigee-sso, עליך מבצעים את השלבים האלה בכל צומת.

    2. פותחים את הקובץ הבא לעריכה:
      /opt/apigee/customer/application/sso.properties 

      אם הקובץ לא קיים, יוצרים אותו.

    3. מוסיפים את השורה הבאה לקובץ:
      conf_uaa_database_password=new_password_in_plain_text

      לדוגמה:

      conf_uaa_database_password=apigee1234
    4. מריצים את הפקודה הבאה כדי להחיל את שינויי ההגדרות רכיב apigee-sso:
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
    5. חוזרים על השלבים האלה לכל שרת SSO.
  9. תצטרכו להפעיל מחדש את הרכיבים הבאים לפי הסדר הבא:
    1. מסד נתונים של PostgreSQL:
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
    2. שרת Qpid:
      /opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
    3. שרת Postgres:
      /opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
    4. שרת ניהול:
      /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    5. שרת SSO:
      /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart