Activer l'authentification Cassandra

Par défaut, Cassandra s'installe sans authentification activée. Cela signifie que tout le monde peut accéder Cassandra. Vous pouvez activer l'authentification après l'installation de Edge ou dans le cadre de l'installation processus.

Vous pouvez ajouter, supprimer et modifier des rôles à l'aide des instructions Cassandra CREATE/ALTER/DROP ROLES. Pour en savoir plus, consultez les ressources suivantes :

Considérations générales

  • Lorsque vous activez l'authentification Cassandra, un super-utilisateur par défaut cassandra (avec le mot de passe cassandra) est créé automatiquement par Cassandra. Il s'agit d'un super-utilisateur très connu. Vous ne devez pas l'utiliser pour vos besoins de production. De plus, l'authentification via ce super-utilisateur nécessite la cohérence du quorum. Par conséquent, toutes les connexions à Cassandra qui s'authentifient via cet utilisateur nécessitent une cohérence plus stricte, ce qui ralentit les performances et réduit la tolérance aux pannes.
  • Un workflow type consiste à activer l'authentification dans Cassandra tout en transmettant un nom d'utilisateur et un mot de passe personnalisés via le fichier de configuration. Vous obtiendrez ainsi un utilisateur et un mot de passe personnalisés que vous pourrez utiliser en toute sécurité pour vos besoins. L'authentification via ces utilisateurs n'est pas soumise à des restrictions de cohérence de quorum.
  • N'oubliez pas que même si un utilisateur personnalisé a été créé, Cassandra crée toujours le super-utilisateur cassandra par défaut et que votre cluster Cassandra est accessible via le super-utilisateur. Une fois que l'authentification Cassandra a été correctement activée dans Apigee, vous devez généralement utiliser la commande ALTER ROLE pour remplacer le mot de passe de cet utilisateur cassandra par un autre mot de passe par défaut que cassandra par défaut. Gardez une trace de ce mot de passe pour le retrouver plus tard.
  • Vous ne devez PAS modifier le mot de passe du rôle utilisé par les composants edge-* pour l'authentification, car cela entraînerait immédiatement une interruption de service. À la place, vous devez créer un nouvel utilisateur, modifier les composants edge-* pour utiliser le nouvel utilisateur et, une fois l'opération terminée, supprimer l'ancien utilisateur à l'aide de la commande DROP ROLE.
  • Pour modifier le rôle utilisé par les composants edge-* pour l'authentification Cassandra, procédez comme suit :
    1. Suivez la procédure décrite dans la section Activer l'authentification pour créer un utilisateur. Notez que si l'authentification est déjà activée dans votre cluster et que vous avez modifié le mot de passe de l'utilisateur cassandra, vous devez transmettre la combinaison nom d'utilisateur/mot de passe d'un utilisateur existant via CASS_EXISTING_USERNAME et CASS_EXISTING_PASSWORD.
    2. Une fois l'opération terminée, vérifiez à l'aide de cqlsh que vous pouvez vous connecter à Cassandra via l'ancien et le nouvel utilisateur.
    3. Faites pointer tous les composants edge-* pour que l'utilisateur nouvellement créé se connecte à Cassandra en suivant les instructions de la section Mettre à jour les composants Edge qui se connectent à Cassandra.
    4. Enfin, lorsque tous les composants utilisent le nouvel utilisateur pour communiquer avec Cassandra, vous pouvez supprimer l'ancien utilisateur à l'aide de la commande DROP ROLE. Notez que le rôle cassandra par défaut ne doit pas être supprimé. Vous pouvez supprimer tous les rôles personnalisés qui ne sont pas utilisés par les composants edge-* pour communiquer avec Cassandra.
  • N'oubliez pas de mettre à jour le nom d'utilisateur et le mot de passe fonctionnels Cassandra dans le fichier de configuration que vous utilisez pour installer ou mettre à niveau les composants Edge. Cela permet d'éliminer ou de minimiser les perturbations lors des opérations en périphérie.

Activer l'authentification Cassandra pendant installation

Vous pouvez activer l'authentification Cassandra au moment de l'installation.

Pour activer l'authentification Cassandra au moment de l'installation, incluez la propriété CASS_AUTH dans le fichier de configuration de tous les nœuds Cassandra :

CASS_AUTH=y # The default value is n.

Les composants Edge suivants accèdent à Cassandra:

  • Serveur de gestion
  • Processeurs de messages
  • Routeurs
  • Serveurs Qpid
  • Serveurs Postgres

Lorsque vous installez ces composants, vous devez définir un nom d'utilisateur et un mot de passe dans le fichier de configuration Terraform:

CASS_USERNAME=cassandra_username
CASS_PASSWORD=cassandra_password

Vous pouvez modifier les identifiants Cassandra après l'avoir installé. Cependant, si vous avez déjà installé le serveur de gestion, les processeurs de messages, les routeurs, les serveurs Qpid ou Postgres vous devez également mettre à jour ces composants pour qu'ils utilisent les nouveaux identifiants.

Pour modifier les identifiants Cassandra après avoir installé Cassandra :

  1. Connectez-vous à n'importe quel nœud Cassandra à l'aide de l'outil cqlsh et des paramètres par défaut. identifiants de connexion. Il vous suffit de modifier le mot de passe sur un seul nœud. Il sera diffusé sur tous les nœuds Cassandra de l'anneau :
    /opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra_username -p cassandra_password

    Où :

    1. cassIP est l'adresse IP du nœud Cassandra.
    2. 9042 est le port Cassandra par défaut.
  2. Exécutez la commande suivante au niveau de la commande cqlsh> invite à mettre à jour le mot de passe:
    ALTER ROLE <username> WITH PASSWORD='';
  3. Quittez l'outil cqlsh, comme dans l'exemple suivant :
    exit
  4. Si vous n'avez pas encore installé le serveur de gestion, les processeurs de messages Les routeurs, serveurs Qpid ou serveurs Postgres définissent les propriétés suivantes dans le champ de configuration Terraform, puis installez ces composants:
    CASS_USERNAME=cassandra_username
    CASS_PASSWORD=new_cassandra_password
  5. Si vous avez déjà installé le serveur de gestion, Processeurs, routeurs, serveurs Qpid ou serveurs Postgres, puis consultez la section Réinitialisation des mots de passe périphériques pour connaître la procédure de mise à jour composants pour utiliser le nouveau mot de passe.

Activer le post d'authentification Cassandra installation

Pour activer l'authentification après une installation:

Mettre à jour les composants Edge qui se connectent à Cassandra

Procédez comme suit pour mettre à jour tous les composants Edge qui communiquent avec Cassandra avec les nouveaux identifiants. Notez que vous devez effectuer cette étape avant de mettre à jour les identifiants Cassandra :

  1. Sur le nœud du serveur de gestion, exécutez la commande suivante :
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server
      store_cassandra_credentials -u cassandra_username -p cassandra_password

    Si vous le souhaitez, vous pouvez transmettre à la commande un fichier contenant le nouveau nom d'utilisateur et le nouveau mot de passe:

    apigee-service edge-management-server store_cassandra_credentials  -f configFile

    configFile contient les éléments suivants:

    CASS_USERNAME=cassandra_username # Default is cassandra
    CASS_PASSWORD='cassandra_password' # Default is cassandra; wrap in single quotes if it includes special chars

    Cette commande redémarre automatiquement le serveur de gestion.

  2. Répétez l'étape 1 pour chacun des services suivants:
    • Tous les processeurs de messages
    • Tous les routeurs
    • Tous les serveurs Qpid (edge-qpid-server)
    • Serveurs Postgres (edge-postgres-server)

    Lorsque vous répétez l'étape 1 pour chaque service, remplacez edge-management-server dans ci-dessus par le nom de service approprié. Par exemple, lorsque vous exécutez l'étape pour un service de routeur, utilisez la commande suivante:

    /opt/apigee/apigee-service/bin/apigee-service edge-router
      store_cassandra_credentials -u cassandra -p cassandra

Activer l'authentification

Pour activer l'authentification Cassandra et définir le nom d'utilisateur et le mot de passe, procédez comme suit :

  1. Créez un fichier de configuration silencieuse avec le contenu présenté ci-dessous:
    # Specify IP address or DNS name of cassandra node
    IP1=192.168.1.1
    IP2=192.168.1.2
    IP3=192.168.1.3
    # Must resolve to IP address or DNS name of host
    HOSTIP=$(hostname -i)
    # Set to ‘y’ to enable Cassandra authentication.
    CASS_AUTH=y # Possible values are ‘y/n’
    # Cassandra username. If it does not exist, this user would be created as a SUPERUSER
    CASS_USERNAME=cassandra_username # Default value is cassandra - don't use for production
    # Cassandra Password. If CASS_USERNAME does not exist, create SUPERUSER with this as password
    CASS_PASSWORD=cassandra_password # Default value is cassandra - don't use for production
    # Space-separated IP/DNS names of the Cassandra hosts
    CASS_HOSTS="$IP1:1,1 $IP2:1,1 $IP3:1,1"
    
    # Username of an existing C* user. Only needed if you have disabled or changed details of the default cassandra user(‘cassandra’)
    CASS_EXISTING_USERNAME=existing_cassandra_username
    # Password of an existing C* user. Only needed if you have disabled or change password of the default cassandra user(‘cassandra’)
    CASS_EXISTING_PASSWORD=existing_cassandra_password
    # Cassandra port
    CASS_PORT=9042 # The default port is 9042.
  2. Connectez-vous au premier nœud Cassandra et exécutez la commande suivante :

    apigee-service apigee-cassandra enable_cassandra_authentication -f CONFIG

    Vous pouvez également transmettre les propriétés en tant qu'arguments de commande au script, comme illustré dans l'exemple suivant :

    CASS_AUTH=y HOSTIP=$(hostname -i) CASS_PORT=9042 CASS_EXISTING_USERNAME=existing_cassandra_username CASS_EXISTING_PASSWORD=existing_cassandra_password CASS_USERNAME=cassandra_username CASS_PASSWORD=cassandra_password  CASS_HOSTS="192.168.1.1:1,1 192.168.1.2:1,1 192.168.1.3:1,1" apigee-service apigee-cassandra enable_cassandra_authentication

    Remarques :

    • Par défaut Identifiants Cassandra, la commande ci-dessus active l'authentification Cassandra et redémarre Cassandra.
    • Pour les identifiants autres que ceux par défaut, la commande modifie également le facteur de réplication, crée un et exécute une réparation sur system_auth keyspace.
  3. Répétez les étapes 1 et 2 sur tous les nœuds Cassandra.