Depois de concluir a instalação, redefina as seguintes senhas:
Instruções sobre como redefinir cada uma dessas senhas estão incluídas nas seções a seguir.
Redefinir senha do OpenLDAP
A maneira de redefinir a senha do OpenLDAP depende da sua configuração. Dependendo da configuração do Edge, o OpenLDAP pode ser instalado como:
- Uma única instância do OpenLDAP instalada no nó do Servidor de gerenciamento. Por exemplo, em uma configuração de borda com dois, cinco ou nove nós.
- Várias instâncias do OpenLDAP instaladas nos nós do servidor de gerenciamento, configuradas com a replicação OpenLDAP. Por exemplo, em uma configuração do Edge com 12 nós.
- Várias instâncias do OpenLDAP instaladas nos próprios nós, configuradas com a replicação OpenLDAP. Por exemplo, em uma configuração do Edge com 13 nós.
Para uma única instância do OpenLDAP instalada no servidor de gerenciamento, faça o seguinte:
- No nó do Servidor de gerenciamento, execute o seguinte comando para criar a nova senha do OpenLDAP:
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑openldap \ change‑ldap‑password ‑o OLD_PASSWORD ‑n NEW_PASSWORD
- Execute o seguinte comando para armazenar a nova senha a ser acessada pelo servidor de gerenciamento:
/opt/apigee/apigee‑service/bin/apigee‑service edge‑management‑server \ store_ldap_credentials ‑p NEW_PASSWORD
Esse comando reinicia o servidor de gerenciamento.
Em uma configuração de replicação do OpenLDAP com o OpenLDAP instalado nos nós do servidor de gerenciamento, siga as etapas acima nos dois nós para atualizar a senha.
Em uma configuração de replicação do OpenLDAP com o OpenLDAP em um nó que não seja o de gerenciamento, primeiro altere a senha nos dois nós do OpenLDAP e, depois, nos dois.
Redefinir senha do administrador do sistema
Para redefinir a senha do administrador do sistema, é necessário fazer isso em dois locais:
- Servidor de gerenciamento
- Interface
Para redefinir a senha de administrador do sistema:
- Edite o arquivo de configuração silencioso usado para instalar a interface do Edge para definir as seguintes propriedades:
APIGEE_ADMINPW=NEW_PASSWORD SMTPHOST=smtp.gmail.com SMTPPORT=465 SMTPUSER=foo@gmail.com SMTPPASSWORD=bar SMTPSSL=y SMTPMAILFROM="My Company <myco@company.com>"
É necessário incluir as propriedades do SMTP ao passar a nova senha, porque todas as propriedades da IU serão redefinidas.
- No nó da IU, pare a IU do Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- Use o utilitário
apigee-setup
para redefinir a senha na IU do Edge pelo arquivo de configuração:/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Somente se o TLS estiver ativado na IU) Reative o TLS na IU do Edge, conforme descrito em Como configurar o TLS para a IU de gerenciamento.
- No Servidor de Gerenciamento, crie um novo arquivo XML. Nesse arquivo, defina o ID do usuário como "admin"
e a senha, o nome, o sobrenome e o endereço de e-mail usando o seguinte formato:
<User id="admin"> <Password><![CDATA[password]]></Password> <FirstName>first_name</FirstName> <LastName>last_name</LastName> <EmailId>email_address</EmailId> </User>
- No servidor de gerenciamento, execute o seguinte comando:
curl -u "admin_email_address:admin_password" -H \ "Content-Type: application/xml" -H "Accept: application/json" -X POST \ "http://localhost:8080/v1/users/admin_email_address" -d @your_data_file
Em que your_data_file é o arquivo que você criou na etapa anterior.
O Edge atualiza sua senha de administrador no servidor de gerenciamento.
- Exclua o arquivo XML criado. As senhas nunca devem ser armazenadas permanentemente em texto não criptografado.
Em um ambiente de replicação OpenLDAP com vários servidores de gerenciamento, a redefinição da senha em um deles atualiza o outro automaticamente. No entanto, você precisa atualizar todos os nós da IU do Edge separadamente.
Redefinir a senha do usuário da organização
Para redefinir a senha de um usuário da organização, use o utilitário apigee-servce
para invocar apigee-setup
, como mostra o exemplo a seguir:
/opt/apigee/apigee-service/bin/apigee-service apigee-setup reset_user_password [-h] [-u USER_EMAIL] [-p USER_PWD] [-a ADMIN_EMAIL] [-P APIGEE_ADMINPW] [-f configFile]
Exemplo:
/opt/apigee/apigee‑service/bin/apigee‑service apigee‑setup reset_user_password ‑u user@myCo.com ‑p Foo12345 ‑a admin@myCo.com ‑P adminPword
cp ~/Documents/tmp/hybrid_root/apigeectl_beta2_a00ae58_linux_64/README.md ~/Documents/utilities/README.md
Confira abaixo um exemplo de arquivo de configuração que pode ser usado com a opção "-f":
USER_NAME=user@myCo.com USER_PWD="Foo12345" APIGEE_ADMINPW=ADMIN_PASSWORD
Também é possível usar a API Update user para alterar a senha do usuário.
Regras de senha do SysAdmin e da organização
Use esta seção para aplicar um nível desejado de tamanho e força da senha aos usuários do gerenciamento de API. As configurações usam uma série de expressões regulares pré-configuradas (e numeradas exclusivamente) para verificar o conteúdo da senha (como letras maiúsculas, minúsculas, números e caracteres especiais). Grave essas configurações no arquivo
/opt/apigee/customer/application/management-server.properties
. Se esse arquivo não existir, crie-o.
Depois de editar management-server.properties
, reinicie o servidor de gerenciamento:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Em seguida, você pode definir classificações de nível de segurança da senha agrupando diferentes combinações de expressões regulares. Por exemplo, é possível determinar que uma senha com pelo menos uma letra maiúscula e uma minúscula tenha uma classificação de força "3", mas uma senha com pelo menos uma letra minúscula e um número tenha uma classificação "4" mais forte.
Propriedade | Descrição |
---|---|
conf_security_password.validation.minimum.password.length=8 conf_security_password.validation.default.rating=2 conf_security_password.validation.minimum.rating.required=3 |
Use-as para determinar as características gerais das senhas válidas. A classificação mínima padrão do nível da senha, descrita mais adiante na tabela, é 3. A password.validation.default.rating=2 é menor que a classificação mínima exigida, o que significa que, se uma senha inserida estiver fora das regras configuradas, a senha será classificada como 2 e, portanto, inválida (abaixo da classificação mínima de 3). |
Veja a seguir expressões regulares que identificam características de senhas. Cada
é numerado. Por exemplo,
|
|
conf_security_password.validation.regex.1=^(.)\\1+$ |
1: todos os caracteres se repetem |
conf_security_password.validation.regex.2=^.*[a-z]+.*$ |
2: pelo menos uma letra minúscula |
conf_security_password.validation.regex.3=^.*[A-Z]+.*$ |
3: pelo menos uma letra maiúscula |
conf_security_password.validation.regex.4=^.*[0-9]+.*$ |
4: pelo menos um dígito |
conf_security_password.validation.regex.5=^.*[^a-zA-z0-9]+.*$ |
5: pelo menos um caractere especial (não incluindo sublinhado _) |
conf_security_password.validation.regex.6=^.*[_]+.*$ |
6: pelo menos um sublinhado |
conf_security_password.validation.regex.7=^.*[a-z]{2,}.*$ |
7: mais de uma letra minúscula |
conf_security_password.validation.regex.8=^.*[A-Z]{2,}.*$ |
8: mais de uma letra maiúscula |
conf_security_password.validation.regex.9=^.*[0-9]{2,}.*$ |
9: mais de um dígito |
conf_security_password.validation.regex.10=^.*[^a-zA-z0-9]{2,}.*$ |
10: mais de um caractere especial (sem incluir sublinhado). |
conf_security_password.validation.regex.11=^.*[_]{2,}.*$ |
11: mais de um sublinhado |
As regras a seguir determinam o nível da senha com base no conteúdo. Cada regra inclui uma ou mais expressões regulares da seção anterior e atribui uma força numérica a ela. A força numérica de uma senha é comparada ao número conf_security_password.validation.minimum.rating.required no topo do arquivo para determinar se uma senha é válida ou não. |
|
conf_security_password.validation.rule.1=1,AND,0 conf_security_password.validation.rule.2=2,3,4,AND,4 conf_security_password.validation.rule.3=2,9,AND,4 conf_security_password.validation.rule.4=3,9,AND,4 conf_security_password.validation.rule.5=5,6,OR,4 conf_security_password.validation.rule.6=3,2,AND,3 conf_security_password.validation.rule.7=2,9,AND,3 conf_security_password.validation.rule.8=3,9,AND,3 |
Cada regra é numerada. Por exemplo,
Cada regra usa o seguinte formato (à direita do sinal de igual): regex-index-list,[AND|OR],rating regex-index-list é a lista de expressões regulares (por número da seção anterior), com um operador rating é a classificação de força numérica dada a cada regra. Por exemplo, a regra 5 significa que qualquer senha com pelo menos um caractere especial OU um sublinhado recebe uma classificação de força de 4. Com |
conf_security_rbac.password.validation.enabled=true |
Defina a validação de senha do controle de acesso baseado em função como falsa quando o Logon único (SSO) estiver ativado. O padrão é verdadeiro. |
Redefinir senha do Cassandra
Por padrão, o Cassandra é enviado com a autenticação desativada. Se você ativar a autenticação, ele usará um usuário predefinido chamado cassandra
com uma senha cassandra
. É possível usar essa conta,
definir uma senha diferente para ela ou criar um novo usuário do Cassandra. Adicione, remova e modifique usuários usando as instruções CREATE/ALTER/DROP USER
do Cassandra.
Para saber como ativar a autenticação do Cassandra, consulte Ativar a autenticação do Cassandra.
Para redefinir a senha do Cassandra, faça o seguinte:
- Defina a senha em qualquer nó do Cassandra para que ela seja transmitida a todos os nós do Cassandra no anel
- Atualizar o servidor de gerenciamento, os processadores de mensagens, os roteadores, os servidores Qpid e os servidores Postgres em cada nó com a nova senha
Para mais informações, consulte Comandos CQL.
Para redefinir a senha do Cassandra:
- Faça login em qualquer nó do Cassandra usando a ferramenta
cqlsh
e as credenciais padrão. Você só precisa alterar a senha em um nó do Cassandra, e ela será transmitida a todos os nós do Cassandra no anel:/opt/apigee/apigee-cassandra/bin/cqlsh cassIP 9042 -u cassandra -p 'cassandra'
Em que:
cassIP
é o endereço IP do nó do Cassandra.9042
é a porta do Cassandra.- O usuário padrão é
cassandra
. - A senha padrão é "
cassandra
". Se você mudou a senha anteriormente, use a atual. Se a senha tiver caracteres especiais, coloque-a entre aspas simples.
- Execute o seguinte comando como o prompt
cqlsh>
para atualizar a senha:ALTER USER cassandra WITH PASSWORD 'NEW_PASSWORD';
Se a nova senha tiver apenas um caractere de aspas, insira um caractere de aspas simples antes dela.
- Saia da ferramenta
cqlsh
:exit
- No nó do servidor de gerenciamento, execute o seguinte comando:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_cassandra_credentials -u CASS_USERNAME -p 'CASS_PASSWORD'
Outra opção é passar um arquivo para o comando que contém o novo nome de usuário e senha:
apigee-service edge-management-server store_cassandra_credentials -f configFile
Em que configFile contém o seguinte:
CASS_USERNAME=CASS_USERNAME CASS_PASSWORD='CASS_PASSWROD'
Esse comando reinicia automaticamente o servidor de gerenciamento.
- Repita a etapa 4 em:
- Todos os processadores de mensagens
- Todos os roteadores
- Todos os servidores Qpid (edge-qpid-server)
- Servidores Postgres (edge-postgres-server)
A senha do Cassandra foi alterada.
Redefinir senha do PostgreSQL
Por padrão, o banco de dados PostgreSQL tem dois usuários definidos: postgres
e apigee
.
Ambos os usuários têm uma senha padrão de postgres
. Siga o procedimento abaixo para alterar a senha padrão.
Altere a senha de todos os nós mestres do Postgres. Se você tiver dois servidores Postgres configurados no modo mestre/de espera, precisará alterar a senha no nó mestre. Consulte Configurar a replicação mestre em espera do Postgres para saber mais.
- No nó mestre Postgres, altere os diretórios para
/opt/apigee/apigee-postgresql/pgsql/bin
. - Defina a senha de usuário do PostgreSQL
postgres
:- Faça login no banco de dados PostgreSQL usando o comando:
psql -h localhost -d apigee -U postgres
- Quando solicitado, digite a senha de usuário
postgres
atual comopostgres
. - No prompt de comando do PostgreSQL, digite o seguinte comando para alterar a senha padrão:
ALTER USER postgres WITH PASSWORD 'new_password';
Em caso de sucesso, o PostgreSQL responde da seguinte forma:
ALTER ROLE
- Saia do banco de dados PostgreSQL usando o seguinte comando:
\q
- Faça login no banco de dados PostgreSQL usando o comando:
- Defina a senha de usuário do PostgreSQL
apigee
:- Faça login no banco de dados PostgreSQL usando o comando:
psql -h localhost -d apigee -U apigee
- Quando solicitado, digite a senha do usuário
apigee
comopostgres
. - No prompt de comando do PostgreSQL, digite o seguinte comando para alterar a senha padrão:
ALTER USER apigee WITH PASSWORD 'new_password';
- Saia do banco de dados PostgreSQL usando o comando:
\q
Você pode definir as senhas dos usuários
postgres
eapigee
com o mesmo valor ou valores diferentes. - Faça login no banco de dados PostgreSQL usando o comando:
- Defina
APIGEE_HOME
:export APIGEE_HOME=/opt/apigee/edge-postgres-server
- Criptografe a nova senha:
sh /opt/apigee/edge-analytics/utils/scripts/utilities/passwordgen.sh new_password
Esse comando retorna uma senha criptografada. A senha criptografada começa após o caractere ":" e não inclui ":". Por exemplo, a senha criptografada para "apigee1234" é:
Encrypted string:WheaR8U4OeMEM11erxA3Cw==
- Atualize o nó do servidor de gerenciamento com as novas senhas criptografadas para os
usuários
postgres
eapigee
.- No servidor de gerenciamento, altere o diretório para
/opt/apigee/customer/application
. - Edite o arquivo
management-server.properties
para definir as propriedades a seguir. Se esse arquivo não existir, crie-o. - Verifique se o arquivo pertence ao usuário
apigee
:chown apigee:apigee management-server.properties
- No servidor de gerenciamento, altere o diretório para
- Atualize todos os nós dos servidores Postgres e Qpid Server com a nova senha criptografada.
- No nó do servidor Postgres ou Qpid Server, mude para o seguinte diretório:
/opt/apigee/customer/application
- Abra os seguintes arquivos para edição:
postgres-server.properties
qpid-server.properties
Se esses arquivos não existirem, crie-os.
- Adicione as seguintes propriedades aos arquivos:
conf_pg-agent_password=newEncryptedPasswordForPostgresUser
conf_pg-ingest_password=newEncryptedPasswordForPostgresUser
conf_query-service_pgDefaultPwd=newEncryptedPasswordForPostgresUser
conf_query-service_dwDefaultPwd=newEncryptedPasswordForPostgresUser
conf_analytics_aries.pg.password=newEncryptedPasswordForPostgresUser
- Verifique se os arquivos pertencem ao usuário
apigee
:chown apigee:apigee postgres-server.properties
chown apigee:apigee qpid-server.properties
- No nó do servidor Postgres ou Qpid Server, mude para o seguinte diretório:
- Atualize o componente de SSO (se ele estiver ativado):
Conecte-se ou faça login no nó em que o componente
apigee-sso
está sendo executado. Ele também é chamado de servidor SSO.Nas instalações do AIO ou de três nós, esse nó é o mesmo que o servidor de gerenciamento.
Se você tiver vários nós executando o componente
apigee-sso
, execute estas etapas em cada nó.- Abra o seguinte arquivo para edição:
/opt/apigee/customer/application/sso.properties
Se o arquivo não existir, crie-o.
- Adicione a linha abaixo ao arquivo:
conf_uaa_database_password=new_password_in_plain_text
Exemplo:
conf_uaa_database_password=apigee1234
- Execute o seguinte comando para aplicar as mudanças de configuração ao componente
apigee-sso
:/opt/apigee/apigee-service/bin/apigee-service apigee-sso configure
- Repita essas etapas para cada servidor SSO.
- Reinicie os componentes na seguinte ordem:
- Banco de dados PostgreSQL:
/opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart
- Servidor Qpid:
/opt/apigee/apigee-service/bin/apigee-service edge-qpid-server restart
- Servidor Postgres:
/opt/apigee/apigee-service/bin/apigee-service edge-postgres-server restart
- Servidor de gerenciamento:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Servidor SSO:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso restart
- Banco de dados PostgreSQL: