Habilitar la autenticación de Cassandra

De forma predeterminada, Cassandra instala sin autenticación habilitada. Eso significa que cualquier persona puede acceder a Cassandra. Puedes habilitar la autenticación después de instalar Edge o como parte del proceso de instalación.

Puedes agregar, quitar y modificar roles con las sentencias CREATE/ALTER/DROP ROLES de Cassandra. Para obtener más información, consulta lo siguiente:

Algunas consideraciones generales

  • Cuando habilitas la autenticación de Cassandra, Cassandra crea automáticamente un superusuario predeterminado, cassandra (con la contraseña cassandra). Este es un superusuario muy conocido y no deberías usarlo para tus necesidades de producción. Además, la autenticación a través de este superusuario requiere coherencia de quórum. Por lo tanto, todas las conexiones a la autenticación de Cassandra a través de este usuario requieren una coherencia más estricta, lo que da como resultado un rendimiento más lento y menos tolerante a errores.
  • Un flujo de trabajo típico implicará habilitar la autenticación en Cassandra mientras se pasa un nombre de usuario y una contraseña personalizados a través del archivo de configuración. Esto creará el usuario y la contraseña personalizados que puedes usar de forma segura para tus necesidades, y la autenticación a través de esos usuarios no tiene restricciones de coherencia de quórum.
  • Recuerda que, aunque se haya creado un usuario personalizado, Cassandra sigue creando el superusuario cassandra predeterminado, y se puede acceder a tu clúster de Cassandra a través del superusuario. Por lo general, debes usar el comando ALTER ROLE para cambiar la contraseña de este usuario de cassandra por una que no sea la predeterminada de cassandra una vez que la autenticación de Cassandra se haya habilitado de forma correcta a nivel global en Apigee. Conserva un registro de esta contraseña para consultarla en el futuro.
  • NO debes cambiar la contraseña del rol que usan los componentes edge-* para la autenticación, ya que esto causará la interrupción del servicio de inmediato. En su lugar, debes crear un usuario nuevo, modificar los componentes edge-* para usar el usuario nuevo y, una vez que se complete el proceso, descartar el usuario anterior con el comando DROP ROLE.
  • Si quieres cambiar el rol que usan los componentes edge-* para la autenticación de Cassandra, sigue estos pasos:
    1. Para crear un usuario nuevo, sigue los pasos de la sección Habilitar la autenticación. Ten en cuenta que, si la autenticación ya está habilitada en tu clúster y cambiaste la contraseña del usuario de cassandra, deberás pasar una combinación de nombre de usuario y contraseña de un usuario existente a través de CASS_EXISTING_USERNAME y CASS_EXISTING_PASSWORD.
    2. Una vez que se complete, valida a través de cqlsh que puedas conectarte a Cassandra a través del usuario anterior y el nuevo.
    3. Apunta todos los componentes edge-* para usar el usuario recién creado y conectarse a Cassandra siguiendo las instrucciones en Actualiza componentes de Edge que se conectan a Cassandra.
    4. Por último, cuando todos los componentes usan el usuario nuevo para comunicarse con Cassandra, puedes descartar el usuario anterior con el comando DROP ROLE. Ten en cuenta que no se debe descartar el rol cassandra predeterminado. Puedes descartar cualquier rol creado de forma personalizada que los componentes edge-* no usen para comunicarse con Cassandra.
  • Recuerda actualizar el nombre de usuario y la contraseña de Cassandra en el archivo de configuración que usas para instalar o actualizar los componentes de Edge. Esto eliminará o minimizará cualquier interrupción durante las operaciones perimetrales.

Habilita la autenticación de Cassandra durante la instalación

Puedes habilitar la autenticación de Cassandra en el momento de la instalación.

Para habilitar la autenticación de Cassandra en el momento de la instalación, incluye la propiedad CASS_AUTH en el archivo de configuración de todos los nodos de Cassandra:

CASS_AUTH=y # The default value is n.

Los siguientes componentes de Edge acceden a Cassandra:

  • Servidor de administración
  • Procesadores de mensajes
  • Routers
  • Servidores Qpid
  • Servidores de Postgres

Cuando instalas estos componentes, debes configurar un nombre de usuario y una contraseña en el archivo de configuración:

CASS_USERNAME=cassandra_username
CASS_PASSWORD=cassandra_password

Puedes cambiar las credenciales de Cassandra después de instalar Cassandra. Sin embargo, si ya instalaste el servidor de administración, los procesadores de mensajes, los routers, los servidores Qpid o los servidores de Postgres, también debes actualizar esos componentes para usar las credenciales nuevas.

Para cambiar las credenciales de Cassandra después de instalar Cassandra, haz lo siguiente:

  1. Accede a cualquier nodo de Cassandra con la herramienta de cqlsh y las credenciales predeterminadas. Solo debes cambiar la contraseña de un nodo, y se transmitirá a todos los nodos de Cassandra del anillo: 
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra_username -p cassandra_password
    .

    Aquí:

    1. cassIP es la dirección IP del nodo de Cassandra.
    2. 9042 es el puerto de Cassandra predeterminado.
  2. Ejecuta el siguiente comando en el símbolo del sistema de cqlsh> para actualizar la contraseña: 
    ALTER ROLE <username> WITH PASSWORD='';
  3. Sal de la herramienta cqlsh, como se muestra en el siguiente ejemplo: 
    exit
  4. Si aún no instalaste el servidor de administración, los procesadores de mensajes, los routers, los servidores Qpid o los servidores de Postgres, configura las siguientes propiedades en el archivo de configuración y, luego, instala esos componentes: 
    CASS_USERNAME=cassandra_username
CASS_PASSWORD=new_cassandra_password
  5. Si ya instalaste el servidor de administración, los procesadores de mensajes, los routers, los servidores Qpid o los servidores de Postgres, consulta Restablece las contraseñas de Edge a fin de conocer el procedimiento para actualizar esos componentes a fin de usar la contraseña nueva.

Habilita la autenticación de Cassandra después de la instalación

Para habilitar la autenticación después de una instalación, haz lo siguiente:

Actualiza los componentes de Edge que se conectan a Cassandra

Usa el siguiente procedimiento para actualizar todos los componentes de Edge que se comunican con Cassandra con las credenciales nuevas. Ten en cuenta que realizas este paso antes de actualizar realmente las credenciales de Cassandra:

  1. En el nodo del servidor de administración, ejecuta el siguiente comando: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server
  store_cassandra_credentials -u cassandra_username -p cassandra_password

    De manera opcional, puedes pasar un archivo al comando que contenga el nombre de usuario y la contraseña nuevos:

    apigee-service edge-management-server store_cassandra_credentials  -f configFile

    En el ejemplo anterior, configFile contiene lo siguiente:

    CASS_USERNAME=cassandra_username # Default is cassandra
CASS_PASSWORD='cassandra_password' # Default is cassandra; wrap in single quotes if it includes special chars

    Este comando reinicia automáticamente el servidor de administración.

  2. Para cada uno de los siguientes servicios, repite el paso 1:
    • Todos los procesadores de mensajes
    • Todos los routers
    • Todos los servidores Qpid (edge-qpid-server)
    • Servidores Postgres (edge-postgres-server)

    Cuando repitas el paso 1 para cada servicio, reemplaza edge-management-server en el comando anterior con el nombre del servicio adecuado. Por ejemplo, cuando ejecutes el paso para un servicio de router, usa el siguiente comando:

    /opt/apigee/apigee-service/bin/apigee-service edge-router
  store_cassandra_credentials -u cassandra -p cassandra

Habilitar autenticación

Usa el siguiente procedimiento para habilitar la autenticación de Cassandra y configurar el nombre de usuario y la contraseña:

  1. Crea un archivo de configuración silencioso con el contenido que se muestra a continuación: 
    # Specify IP address or DNS name of cassandra node
IP1=192.168.1.1
IP2=192.168.1.2
IP3=192.168.1.3
# Must resolve to IP address or DNS name of host
HOSTIP=$(hostname -i)
# Set to ‘y’ to enable Cassandra authentication.
CASS_AUTH=y # Possible values are ‘y/n’
# Cassandra username. If it does not exist, this user would be created as a SUPERUSER
CASS_USERNAME=cassandra_username # Default value is cassandra - don't use for production
# Cassandra Password. If CASS_USERNAME does not exist, create SUPERUSER with this as password
CASS_PASSWORD=cassandra_password # Default value is cassandra - don't use for production
# Space-separated IP/DNS names of the Cassandra hosts
CASS_HOSTS="$IP1:1,1 $IP2:1,1 $IP3:1,1"

# Username of an existing C* user. Only needed if you have disabled or changed details of the default cassandra user(‘cassandra’)
CASS_EXISTING_USERNAME=existing_cassandra_username
# Password of an existing C* user. Only needed if you have disabled or change password of the default cassandra user(‘cassandra’)
CASS_EXISTING_PASSWORD=existing_cassandra_password
# Cassandra port
CASS_PORT=9042 # The default port is 9042.

  2. Accede al primer nodo de Cassandra y ejecuta el siguiente comando:

    apigee-service apigee-cassandra enable_cassandra_authentication -f CONFIG

    De manera opcional, puedes pasar las propiedades como argumentos del comando a la secuencia de comandos, como se muestra en el siguiente ejemplo: 

    CASS_AUTH=y HOSTIP=$(hostname -i) CASS_PORT=9042 CASS_EXISTING_USERNAME=existing_cassandra_username CASS_EXISTING_PASSWORD=existing_cassandra_password CASS_USERNAME=cassandra_username CASS_PASSWORD=cassandra_password  CASS_HOSTS="192.168.1.1:1,1 192.168.1.2:1,1 192.168.1.3:1,1" apigee-service apigee-cassandra enable_cassandra_authentication

    Notas:

    • Para las credenciales predeterminadas de Cassandra, el comando anterior habilita la autenticación de Cassandra y la reinicia.
    • Para las credenciales no predeterminadas, el comando también altera el factor de replicación, crea un superusuario y ejecuta una reparación en system_auth keyspace.
  3. Repite los pasos 1 y 2 en todos los nodos de Cassandra.