所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

FusionCloud 6.3.0 安全管理指南 09

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
帐户管理

帐户管理

密码修改规则

密码修改的场景和时间

根据给出的密码修改规则修改密码时,请确保密码设置的唯一性。

密码修改场景
  • 对初始密码进行修改。
  • 在系统维护工作交接后修改密码。
  • 定期修改密码。

    建议定期修改密码以增强系统安全性,修改周期请根据需求制定,推荐的修改周期为90天。

密码修改的顺序和时间
  • 修改ManageOne各用户的密码时,对修改顺序没有要求。
  • 对于需要重启服务才能生效的用户,建议在业务量较低时修改密码,例如0:00~4:00。
  • 两次修改的时间间隔不少于5分钟。
容灾中心密码修改要求

容灾中心用户密码应和生产中心用户密码保持同步一致。

容灾中心用户密码修改存在以下两种场景。

  • 生产环境安装时,生产环境用户密码修改。

    生产环境安装时,此时容灾中心未关机,生产中心修改的密码要同步给容灾中心,保持生产和容灾中心的密码一致性。

  • 生产环境运行过程中,生产环境用户密码修改。

    生产环境运行过程中,需要手动开启对应容灾中心,将生产中心修改的密码同步修改给容灾中心,保持生产和容灾中心的密码一致性。

操作系统用户

操作系统提供缺省的用户名和缺省密码,第一次登录操作系统时,需要修改缺省密码以确保用户帐号的安全性。周期性地修改操作系统用户密码,可提高用户信息的安全性。

密码复杂度要求:

  1. 口令长度至少8个字符;
  2. 口令必须包含如下至少3种字符的组合:
    • 至少一个小写字母;
    • 至少一个大写字母;
    • 至少一个数字;
    • 至少一个特殊字符:`~!@#$%^&*()-_=+\|[{}];:'",<.>/?和空格
  3. 口令不能和帐号一样;
  4. 口令不能使用字典词汇。

本节中命令输入密码时,支持直接输入和交互式输入两种方式。直接输入密码存在密码泄露的风险。请执行命令时以交互式方式输入密码。

修改root用户密码

root是Linux操作系统默认用户帐户,即系统管理员,具有Linux操作系统的最高权限。

操作步骤
  1. sopuser用户登录服务器,执行如下命令,切换到root用户。

    su - root

    Password:用户密码

  2. 执行如下命令,修改Linux操作系统用户密码。

    passwd

  3. 根据提示输入“新密码”和“确认新密码”。
修改sopuser用户密码

sopuser用户用于远程登录,登录后需切换到其他用户,进行具体操作。为保证系统安全,不允许其他用户直接登录系统。

操作步骤

方法一:以root用户修改sopuser用户的密码。

  1. sopuser用户登录服务器,执行如下命令,切换到root用户。

    su - root

    Password:用户密码

  2. 执行如下命令,修改sopuser用户密码。

    passwd sopuser

  3. 根据提示输入“新密码”和“确认新密码”。

方法二:以sopuser用户修改密码。

  1. sopuser用户登录服务器。
  2. 执行如下命令,修改sopuser用户密码。

    passwd

  3. 根据提示输入“当前密码”、“新密码”和“确认新密码”。
修改ossuser用户密码

ossuser用户用于对服务部署系统节点进行日常操作和维护。

背景信息

分布式环境下,ossuser用户完成主机的升级和数据备份恢复等操作。

操作步骤

方法一:以root用户修改ossuser用户的密码。

  1. sopuser用户登录服务器,执行如下命令,切换到root用户。

    su - root

    Password:用户密码

  2. 执行如下命令,修改ossuser用户密码。

    passwd ossuser

  3. 根据提示输入“新密码”和“确认新密码”。

方法二:以ossuser用户修改密码。

  1. sopuser用户登录节点,执行如下命令,切换到ossuser用户。

    su - ossuser

    Password:用户密码

  2. 执行如下命令,修改ossuser用户密码。

    passwd

  3. 根据提示输入“当前密码”、“新密码”和“确认新密码”。
修改ossadm用户密码

ossadm用户用于对管理节点进行日常操作和维护。

操作步骤

方法一:以root用户修改ossadm用户的密码。

  1. sopuser用户登录服务器,执行如下命令,切换到root用户。

    su - root

    Password:用户密码

  2. 执行如下命令,修改ossadm用户密码。

    passwd ossadm

  3. 根据提示输入“新密码”和“确认新密码”。

方法二:以ossadm用户修改密码。

  1. sopuser用户登录节点,执行如下命令,切换到ossadm用户。

    su - ossadm

    Password:用户密码

  2. 执行如下命令,修改ossadm用户密码。

    passwd

  3. 根据提示输入“当前密码”、“新密码”和“确认新密码”。
修改dbuser用户密码

dbuser用户用于安装数据库软件,创建数据库实例,启动和停止数据库等。

操作步骤

方法一:以root用户修改dbuser用户的密码。

  1. sopuser用户登录服务器,执行如下命令,切换到root用户。

    su - root

    Password:用户密码

  2. 执行如下命令,修改dbuser用户密码。

    passwd dbuser

  3. 根据提示输入“新密码”和“确认新密码”。

方法二:以dbuser用户修改密码。

  1. sopuser用户登录服务器,执行如下命令,切换到dbuser用户。

    su - dbuser

    Password:用户密码

  2. 执行如下命令,修改dbuser用户密码。

    passwd

  3. 根据提示输入“当前密码”、“新密码”和“确认新密码”。
修改SFTP用户密码

介绍meteradmin话单文件上传SFTP帐户和taskfileadmin任务中心文件存放SFTP帐户密码修改的方法。

前提条件

已经在运营面创建meteradmintaskfileadmin用户。创建方法详见创建运营面内部传输SFTP用户

操作步骤
  1. 登录ManageOne运维面。
  2. 在菜单中选择系统管理 > 系统维护,进入“系统维护”页面。
  3. 在左侧导航配置信息管理选择数据上报配置
  4. 单击“TASKSFTP”,查看任务中心文件服务器信息。

    如果服务器信息与实际情况不符,请根据实际情况进行修改。

    单击“TASKSFTP”行后的“修改”,参考表6-1修改相关信息后,单击“确定”

    说明:
    • SFTP服务器预置的用户名和密码需与OBS的任务中心文件服务用户名和密码保持一致。
    • OBS的任务中心文件服务用户名和密码修改方式请从OBS安全管理资料中获取。
    表6-1 任务中心文件服务器信息

    配置项

    参数说明

    示例

    ipaddress

    SFTP服务器IP地址

    10.35.30.1

    password

    SFTP服务器预置的用户密码

    ManageOne12#$

    port

    SFTP服务器端口号

    22

    username

    SFTP服务器预置的用户名

    taskfileadmin

  5. 单击“METERSFTP”,查看计量中心文件服务器信息。

    如果服务器信息与实际情况不符,请根据实际情况进行修改。

    单击“METERSFTP”行后的“修改”,参考表6-2修改相关信息后,单击“确定”

    说明:
    • SFTP服务器预置的用户名和密码需与SDR的计量中心文件服务用户名和密码保持一致。
    • SDR的计量中心文件服务用户名和密码修改方式请从SDR安全管理资料中获取。
    表6-2 计量中心文件服务器信息

    配置项

    参数说明

    示例

    ipaddress

    SFTP服务器IP地址

    10.35.30.3

    password

    SFTP服务器预置的用户密码

    ManageOne12#$

    port

    SFTP服务器端口号

    22

    username

    SFTP服务器预置的用户名

    meteradmin

修改grub密码

grub系统用于引导操作系统启动。

操作步骤
  1. sopuser用户登录服务器,执行如下命令,切换到root用户。

    sudo su - root

    Password:用户密码

  2. 执行以下命令,防止系统超时退出。

    TMOUT=0

  3. 执行以下命令,为grub密码生成密文。

    grub2-mkpasswd-pbkdf2
    说明:
    • grub默认密码为:Huawei#12。
    • grub加密算法使用sha512。

  4. 输入新密码,并按“Enter”。

    为保证密码的安全性,建议按照以下格式设置密码:

    参数

    参数说明

    取值样例

    密码

    • 密码长度范围为:8-32
    • 密码至少包含一个特殊字符,如`~!@#$%^&*()-_=+\|[{}];:'",<.>/?和空格。
    • 密码至少包含以下3种字符中的2种:
      • 大写字母
      • 小写字母
      • 数字
    • 密码不能为帐号或者帐号的倒写。
    • 密码不能基于Linux系统自带密码字典中已有的单词。

    GalaX8800!

    显示如下回显信息:

    Reenter password: 

  5. 再次输入新密码,并按“Enter”。

    回显信息是新密码的密文形式,需记录该密文。

    [root@localhost ~]# grub2-mkpasswd-pbkdf2
    Enter password:   
    Reenter password:   
    PBKDF2 hash of your password is grub.pbkdf2.sha512.10000.D0649C25C42DA547B79AD683974DE105D0F0899C1EFA4AD34BE49E87C5A41C89F9C1E29A88BBDC05584706C89F3FEB5A284A8A85738058A15F21A862A0464E34.CC0D536DF0418B75C34351B635BF209E05B02503B2440C7FE290843287925E0221860080318EC5A8C8D796B29A2C73C6623B6EAAE04FF8840EE6FCEDA3C29C46
    说明:

    grub.pbkdf2.sha512.10000.D0649C25C42DA547B79AD683974DE105D0F0899C1EFA4AD34BE49E87C5A41C89F9C1E29A88BBDC05584706C89F3FEB5A284A8A85738058A15F21A862A0464E34.CC0D536DF0418B75C34351B635BF209E05B02503B2440C7FE290843287925E0221860080318EC5A8C8D796B29A2C73C6623B6EAAE04FF8840EE6FCEDA3C29C46为输入密码经过grub2-mkpasswd-pbkdf2加密后的输出,每次输出的密文不同。

  6. 在/etc/grub.d/00_header末尾查找如下字段是否存在:

    • 存在,替换字段中的秘文。
    • 不存在,替换字段中的秘文,将整个字段补充到文件末尾。
      cat <<EOF  
      set superusers="root"  
      password_pbkdf2 root grub.pbkdf2.sha512.10000.D0649C25C42DA547B79AD683974DE105D0F0899C1EFA4AD34BE49E87C5A41C89F9C1E29A88BBDC05584706C89F3FEB5A284A8A85738058A15F21A862A0464E34.CC0D536DF0418B75C34351B635BF209E05B02503B2440C7FE290843287925E0221860080318EC5A8C8D796B29A2C73C6623B6EAAE04FF8840EE6FCEDA3C29C46
      EOF
      说明:
      • superusers字段用于设置grub的超级管理员的账户名。
      • password_pbkdf2字段后的参数,第1个参数为grub的账户名,第2个为该账户的口令加密密文。

  7. 执行grub2-mkconfig命令使上述修改生效。

    grub2-mkconfig -o /boot/grub2/grub.cfg
    Generating grub configuration file ...
    Found linux image: /boot/vmlinuz-3.10.0-327.62.59.83.h79.x86_64
    Found initrd image: /boot/initramfs-3.10.0-327.62.59.83.h79.x86_64.img
    done
    说明:

    /boot/grub2/grub.cfg是grub2的配置文件。

  8. 执行如下命令退出root登录。

    exit

数据库用户

介绍数据库缺省用户信息和密码修改。

修改数据库用户名和密码

数据库提供缺省的用户和密码。定期修改数据库用户名和密码,可以确保数据库用户的安全性。

前提条件

服务部署系统处于启动状态。

  • 本节中命令输入密码时,支持直接输入和交互式输入两种方式。直接输入密码存在密码泄露的风险。请执行命令时以交互式方式输入密码。
  • 不支持连续地修改密码或者用户名,需要间隔约3分钟。
背景信息
  • 新的数据库用户名需要满足如下要求:
    • 不能少于1个字符且不超过16个字符。
    • 用户名只允许包含大写字母(A~Z)、小写字母(a~z)、数字(0~9)以及特殊字符(包括~@#^*-_+[{}]:./?)。
    • 用户名不能和当前系统中的数据库用户名重复。
    • 用户名不能为“rplUser”。
  • 建议新密码符合如下复杂度要求:
    • 密码不能少于8个字符且不超过30个字符。
    • 密码必须由如下组合而成:
      • 至少包括一个大写字母(A~Z)
      • 至少包括一个小写字母(a~z)
      • 至少包括一个数字字符(0~9)
      • 至少包括一个特殊字符,特殊字符包括:~@#^*-_+[{}]:./?
    • 密码不能包含用户名或者用户名的倒序。
    • 同一字符出现次数不能超过3次。
    • 建议使用交互式输入密码,若要使用非交互式,则密码不允许使用“-”开头。
操作步骤
  1. sopuser用户登录主管理节点,执行如下命令,切换到ossadm用户。

    su - ossadm

  2. 执行如下命令切换目录。

    cd 安装目录/manager/apps/DataMgmtService/bin

  3. 若要修改指定产品的数据库实例,可先执行以下命令查询产品的数据库实例。

    ./dbsvc_adm -cmd query-db-instance [-region <region name>] [-tenant <tenant name>] [-stage <stage name>] [-type <database type>]

    示例如下:

    ./dbsvc_adm -cmd query-db-instance -region cn-global-1 -type mysql
    说明:

    可选参数“-region”、“-tenant”、“-stage”、“-type”可以通过./dbsvc_adm -cmd query-db-instance命令查询。

  4. 修改数据库密码。命令参数说明如表6-3所示。可以选择单实例模式修改或者批量模式修改。

    其他用户的密码修改完成后,才能修改dbuser用户的密码。

    • 执行如下命令修改单实例的数据库密码:

      ./dbsvc_adm -cmd modify-db-pwd -instid <DBInstanceId> -user <user name>

      password:用户的旧密码
      new password:新密码
      confirm new password:新密码

      执行成功后,输出结果如下所示:

      Successful
    • 执行如下命令修改批量实例的数据库密码:

      ./dbsvc_adm -cmd batch-modify-db-pwd -tenant <tenant name> -stage <stage name> -type <database type> -user <user name>

      password:用户的旧密码
      new password:新密码
      confirm new password:新密码

      执行成功后,输出结果如下所示:

      Instances to be modified: bakalakacache-0-4,dbbakalaka-0-7@1-5
      Modify user successful for DBInstanceId:bakalakacache-0-4
      Modify user successful for DBInstanceId:dbbakalaka-0-7@1-5
      Successful
      表6-3 修改数据库密码的参数说明

      参数名称

      说明

      -region

      区域名称。

      -instid

      数据库实例名。

      -tenant

      租户名称。

      -stage

      stage名称,目前支持Alpha、Beta、Gamma、Product。

      -type

      数据库类型(redis/mysql)。

      -user

      需要修改的数据库用户名。

  5. 执行如下命令修改数据库用户名。命令参数说明如表6-4所示。可以选择单实例模式修改或者批量模式修改。

    • 修改单实例的数据库用户名:

      ./dbsvc_adm -cmd modify-db-user -instid <DBInstanceId> -user <user name> -newuser <new user name>

      password:用户的密码

      执行成功后,输出结果如下所示:

      Successful
    • 修改批量实例的数据库用户名:

      ./dbsvc_adm -cmd batch-modify-db-user -tenant <tenant name> -stage <stage name> -type <type> -user <user name> -newuser <new user name>

      password:用户的密码

      执行成功后,输出结果如下所示:

      Instances to be modified: bakalakacache-0-4,dbbakalaka-0-7@1-5
      Modify user successful for DBInstanceId:bakalakacache-0-4
      Modify user successful for DBInstanceId:dbbakalaka-0-7@1-5
      Successful
      表6-4 修改数据库用户名的参数说明

      参数名称

      说明

      -instid

      数据库实例名。

      -tenant

      租户名称。

      -stage

      stage名称,目前支持Alpha、Beta、Gamma、Product。

      -type

      数据库类型(redis/mysql/GaussDB)。

      -user

      需要修改的数据库用户。

      -newuser

      需要修改的数据库用户名的新用户名。

部署面用户

介绍服务部署系统缺省用户信息和密码修改方式。

部署面用户管理

服务部署系统用户管理包括对用户密码、安全策略等进行管理。通过用户管理能有效避免非法用户的入侵,保证ManageOne的安全性。

前提条件

已登录服务部署系统(https://服务部署系统浮动IP地址:31943)。

操作步骤

安全策略相关设置任务请参见表6-5

表6-5 安全策略设置

任务

描述

操作步骤

修改密码

周期性地修改部署面用户的密码,可提高用户信息的安全性。

  • 修改缺省密码。

    当第一次登录ManageOne部署面时,会自动进入修改初始密码的页面。

    1. 在“修改密码”页面中,设置“旧密码”、“新密码”和“确认密码”。
    2. 单击“应用”。
  • 周期性修改密码。
    1. 在主菜单中选择“系统 > 个人设置 > 修改密码”。
    2. 输入“旧密码”、“新密码”和“确认密码”。
    3. 单击“应用”。

设置帐号策略

设置帐号名的长度和与用户登录相关的策略,可提高部署面访问安全性。

说明:
  • 为了提高用户帐号的安全性,建议启用所有帐号安全策略。
  • 帐号策略适用于除缺省管理员以外的所有用户。
  1. 在主菜单中选择“安全 > 安全策略”。
  2. 单击左侧导航树中的“帐号策略”
  3. “帐号策略”页面中设置帐号策略,单击“应用”

设置密码策略

设置用户密码的复杂度、更新周期和字符限制等策略,可以提高部署面访问的安全性,防止用户设置过于简单的密码而导致帐号容易被盗用。

说明:

建议启用所有密码安全策略。

  1. 在主菜单中选择“安全 > 安全策略”。
  2. 单击左侧导航树中的“密码策略”
  3. “密码策略”页面中设置密码策略,单击“应用”

设置登录IP地址控制

通过设置允许访问的IP地址区间,限制用户只能从特定IP地址区间登录。

  1. 在主菜单中选择“安全 > 安全策略”。
  2. 单击左侧导航树中的“登录IP地址控制”
  3. “登录IP地址控制”页面中单击“创建”,在弹出的页面中设置登录IP地址控制策略,然后单击“确定”
说明:
  • “登录IP地址控制”页面中创建新的IP地址区间后,需在“用户”页面添加到用户的访问控制策略才能生效。
  • “用户”页面设置“访问控制”时,可以直接创建新的IP地址区间。

设置登录时间控制

通过设置登录时间控制策略,限制用户只能在特定的时间段内登录部署面。

  1. 在主菜单中选择“安全 > 安全策略”。
  2. 单击左侧导航树中的“登录时间控制”
  3. “登录时间控制”页面中单击“创建”,在弹出的页面中设置登录时间控制策略,然后单击“确定”
说明:
  • “登录时间控制”页面中创建新的登录时间策略后,需在“用户”页面添加到用户的访问控制策略才能生效。
  • “用户”页面设置“访问控制”时,可以直接创建新的登录时间策略。

查看在线用户

实时查看在线用户会话,检查用户是否执行非法操作。当发现有非法操作时,能强制注销该用户。

  1. 在主菜单中选择安全 > 用户管理
  2. 单击左侧导航树中的“查看在线用户”

运维面用户

介绍供客户运维操作用的缺省用户信息及其密码修改方式。

运维面用户管理

通过对运维面用户密码、安全策略等进行管理,能有效避免非法用户的入侵,保证ManageOne的安全性。

前提条件

已登录ManageOne运维面。

背景信息

运维面用户包括运维面提供的缺省用户和用户根据对接需要创建的“云服务系统对接”用户。

运维面缺省用户如表6-6所示。

表6-6 运维面缺省用户

用户角色

用户名

缺省密码

用户权限

运维面管理员

admin

  • 工具安装

    Huawei12#$

  • 手动安装

    Changeme_123

具有所有设备的管理权限和ManageOne运维面的所有操作权限。

云服务接入用户

thirdparty

Sy@1#3!5-OC6

具有ManageOne与第三方云服务对接的所有操作权限。若对用户密码进行修改,所有使用thirdparty用户跟ManageOne运维面的对接会中断,需要在第三方云服务重新用新密码对接ManageOne运维面。详细操作参见修改ManageOne对接用户密码

操作步骤

安全策略相关设置任务请参见表6-7

表6-7 安全策略设置

任务

描述

操作步骤

修改密码

周期性地修改运维面用户的密码,可提高用户信息的安全性。

  • 修改缺省密码。

    当第一次登录ManageOne运维面时,会自动进入修改初始密码的页面。

    1. 在“修改密码”页面中,设置“旧密码”、“新密码”和“确认密码”。
    2. 单击“应用”。
  • 周期性修改密码。
    1. 在主菜单中选择“系统设置> 个人设置 > 修改密码”。
    2. 输入“旧密码”、“新密码”和“确认密码”。
    3. 单击“应用”。

设置帐号策略

设置帐号名的长度和与用户登录相关的策略,可提高运维面访问安全性。

说明:
  • 为了提高用户帐号的安全性,建议启用所有帐号安全策略。
  • 帐号策略适用于除缺省管理员以外的所有用户。
  1. 在主菜单中选择“安全 > 安全策略”。
  2. 单击左侧导航树中的“帐号策略”
  3. “帐号策略”页面中设置帐号策略,单击“应用”

设置密码策略

设置用户密码的复杂度、更新周期和字符限制等策略,可以提高运维面访问的安全性,防止用户设置过于简单的密码而导致帐号容易被盗用。

说明:

建议启用所有密码安全策略。

  1. 在主菜单中选择“安全 > 安全策略”。
  2. 单击左侧导航树中的“密码策略”
  3. “密码策略”页面中设置密码策略,单击“应用”

设置登录IP地址控制

通过设置允许访问的IP地址区间,限制用户只能从特定IP地址区间登录。

  1. 在主菜单中选择“安全 > 安全策略”。
  2. 单击左侧导航树中的“登录IP地址控制”
  3. “登录IP地址控制”页面中单击“创建”,在弹出的页面中设置登录IP地址控制策略,然后单击“确定”
说明:
  • “登录IP地址控制”页面中创建新的IP地址区间后,需在“用户”页面添加到用户的访问控制策略才能生效。
  • “用户”页面设置“访问控制”时,可以直接创建新的IP地址区间。

设置登录时间控制

通过设置登录时间控制策略,限制用户只能在特定的时间段内登录运维面。

  1. 在主菜单中选择“安全 > 安全策略”。
  2. 单击左侧导航树中的“登录时间控制”
  3. “登录时间控制”页面中单击“创建”,在弹出的页面中设置登录时间控制策略,然后单击“确定”
说明:
  • “登录时间控制”页面中创建新的登录时间策略后,需在“用户”页面添加到用户的访问控制策略才能生效。
  • “用户”页面设置“访问控制”时,可以直接创建新的登录时间策略。

查看在线用户

实时查看在线用户会话,检查用户是否执行非法操作。当发现有非法操作时,能强制注销该用户。

  1. 在主菜单中选择安全 > 用户管理
  2. 单击左侧导航树中的“查看在线用户”
修改ManageOne对接用户密码

第三方云服务对接ManageOne后。若对ManageOne对接用户thirdparty的密码进行修改,所有使用thirdparty用户跟ManageOne运维面的对接会中断,需要在第三方云服务重新用新密码对接ManageOne运维面。

对接ManageOne的第三方云服务及密码修改方式如表6-8所示。

表6-8 对接ManageOne的第三方云服务及密码修改方法

云服务

密码修改方法

Service OM

参见《FusionCloud 6.3.0 运维指南》的“重新对接云服务告警上报”。

VMware

参见《FusionCloud 6.3.0 VMware纳管指南》的“IAM的vdc_admin帐号关联修改”。

云平台仲裁服务

参见《云平台仲裁服务维护指南 6.3》的“修改所有节点的操作系统内部帐户密码”。

Karbor

参见《FusionCloud 6.3.0 命令参考》中的“set_alarm_endpoint”重新对接。

eReplication

参见eReplication联机帮助的“配置告警对接信息”。

eBackup

参见eBackup联机帮助的“配置告警上报”。

修改ocuser用户密码

ManageOne对接FusionSphere OpenStack后,通过在FusionSphere OpenStack OM系统配置SNMP管理站信息,实现ManageOne通过虚拟化驱动服务从FusionSphere OpenStack OM采集告警数据的功能。其中OM是FusionSphere OpenStack的一个组件。ocuser是为OpenStack OM上报告警配置SNMP管理站帐户。

前提条件

已获取ManageOne运维面管理员权限。

背景信息
  • FCD工具安装时,会配置默认对接用户名称、授权认证密码和数据加密密码。默认信息为如下。
    • 用户名称:ocuser
    • 授权认证密码:Huawei@123
    • 数据加密密码:Huawei@123
  • 脚本安装时,无默认对接用户ocuser,参考本章节内容可自行创建对接用户。
  • 当ManageOne系统修改了其接入用户的信息后需配置FusionSphere OpenStack OM系统的用户信息。
操作步骤
  1. 登录ManageOne运维面。
  2. 在主菜单中选择系统管理 > 接入管理
  3. 在左侧导航栏中选择“驱动生命周期管理 > 配置管理”。
  4. 单击需要修改对接系统名称OpenStack_OM。
  5. 删除原有用户名称为ocuser的系统信息。
  6. 单击,参考表6-9填写图6-1系统认证信息。

    图6-1 添加系统认证信息
    表6-9 系统认证信息

    参数

    描述

    协议类型

    对接系统时使用的协议类型,建议使用SNMP。

    协议版本

    对接系统时使用的协议版本,可选SNMPv2C和SNMPv3,SNMPv2C安全性较低,建议使用较为安全的SNMPv3。

    系统名称

    对接的系统名称。

    用户名称

    对接系统时使用的用户名。

    授权认证协议

    对接系统时使用的授权认证协议,可选SHA和MD5,建议使用SHA。

    授权认证密码

    对接系统时使用的授权认证密码。

    数据加密协议

    对接系统时使用的数据加密协议,可选AES-128和DES,建议使用AES-128

    数据加密密码

    对接系统时使用的数据加密密码。

  7. 填写系统认证信息后单击“确定”,即可看见新建的用户名称为ocuser的系统信息。
  8. 配置FusionSphere OpenStack OM系统。

    请参考《ManageOne 调测指南》的“配置FusionSphere OpenStack OM系统”章节。

设置是否停用admin用户及默认用户

admin是ManageOne的默认用户。提供命令支持停用/启用admin用户及其他默认用户。

前提条件
  • 此命令仅支持ossuser用户执行。
  • 禁用admin用户前,admin用户均已被注销。
  • 禁用默认用户前,被禁用的默认用户均已被注销。
操作步骤
  1. sopuser用户登录UserService所在服务器,执行如下命令,切换到ossuser用户。

    su - ossuser

  2. 执行如下命令,停用/启用默认用户。

    cd 安装目录/产品名称/apps/UserService/bin

    • 停用/启用admin用户

      停用:./userTools.sh -cmd disableAdmin

      启用:./userTools.sh -cmd enableAdmin

    • 停用/启用其他默认用户

      停用:./userTools.sh -cmd disableUser -name username

      启用:./userTools.sh -cmd enableUser -name username

云服务系统对接用户管理

ManageOne与云服务系统对接后,当云服务系统修改了接入用户的密码时,您需要在运维面上对应修改该用户信息以保持一致。

前提条件

已获取云服务系统对接用户的用户名及密码。

ManageOne与云服务系统对接后,当在运维面修改了云服务系统对接用户密码时,您需要同步修改云服务系统中用户信息以保证信息的一致性。

背景信息
  • 此类用户的密码策略由对应的云服务系统提供。
  • 当云服务系统修改了其接入用户的信息后会导致对接失败。此时,ManageOne会提示“连通性告警上报”告警。
操作步骤
  1. 登录ManageOne运维面。
  2. 在主菜单中选择系统管理 > 接入管理
  3. 在“接入管理”页面,单击需要修改对接用户信息的系统名称。
  4. 单击右侧,进入“修改系统信息”页面。
  5. 在“协议参数”区域框中将“密码”修改成已获取的接入用户新密码。
  6. 单击“确定”。

运营面用户

运营面用户维护

通过对运营面用户密码进行修改,能有效避免非法用户的入侵,保证ManageOne的安全性。

背景信息

建议定期修改密码以增强系统安全性,修改周期请根据需求制定,推荐的修改周期为90天。

操作步骤
  1. 登录ManageOne运营面。
  2. 在界面右上方,单击用户名,选择“个人设置”,进入“个人设置”页面。
  3. 在“密码”的右侧,单击“修改”。
  4. 在“修改密码”页面,设置“旧密码”、“新密码”和“确认新密码”。

    说明:

    建议新密码符合如下复杂度要求:

    • 密码不能包含用户名或者用户名的倒序。
    • 不能少于8个字符,且不超过32个字符。
    • 至少包括一个大写字母(A~Z),一个小写字母(a~z),一个数字字符(0~9)。
    • 至少包括1个特殊字符,特殊字符包括:空格 !"#$%&'()*+,-./:;=?@[]^`{_|}~。

  5. 单击“确认”。

修改IAM服务的用户密码

IAM系统提供了供各服务使用的帐户,并给这些帐户设置缺省用户名和密码。周期的修改密码可以提高系统的安全性。

缺省用户信息

系统提供缺省帐户和初始密码,并赋予这些缺省帐户不同的操作权限。了解这些用户能有利于您更快捷的进行操作。

说明:

使用如下用户执行操作时,如果用户密码仍然为初始密码,为了提高系统安全,请及时修改用户密码。

表6-10 IAM服务缺省用户信息

租户

用户组

用户

缺省密码

说明

内置域“op_service”每个企业默认都会产生“op_service”的委托角色,与本域关联以完成云资源管理等业务。

preset_group

preset_user

Changeme_123

preset_user是预置op_service域在IAM上鉴权使用的用户。

auth

iam_authui

Changeme_123

iam_authui是IAM AuthWebsite在IAM上鉴权使用的用户。

iam

iam_cacheproxy

Changeme_123

iam_cacheproxy是IAM向其他服务同步数据使用的用户。

内置域“op_team”每个企业默认都会产生“op_support”的委托角色,与本域关联以完成代订购等功能。

admin

op_team

Changeme_123

op_team是内置域“op_team”的根帐户。

op_svc_iam

admin

op_svc_iam

Changeme_123

op_svc_iam是IAM上传头像、鉴权以及管理身份提供商使用的帐号。

对接用户信息

单点登录功能的正常使用依赖于IAM与各服务成功对接,才能保证IAM的单点登录功能正常使用。在对接之前,需要创建IAM内置用户,如表6-11所示。

表6-11 IAM对接用户信息

租户名

用户名

缺省密码

op_service

sdp_admin

MIIXvcNAQ@cCoII_XSDC

op_service

aep_admin

Changeme_123

op_service

vdc_admin

Huawei@123

op_service

console_admin

Changeme_123

op_service

op_svc_nfvo

Changeme_123

op_service

iam_moauth

Changeme_123

修改op_svc_iam用户密码

op_svc_iam是统一身份认证鉴权以及管理身份提供商使用的帐号。为了确保帐号安全性,防止用户密码被暴力破解等安全风险,请修改该用户的默认密码。且建议定期(3个月)修改当前密码,并按指定密码规则设置新密码。

修改密码操作需要服务处于启动状态,异地容灾模式下只需要在生产站点执行。

前提条件
  • 已获取登录IAMToolService服务所在节点(任一节点)的sopuserroot用户的密码。
  • 已获取统一身份认证服务预置用户op_svc_iam的旧密码,缺省密码为“Changeme_123”。
操作步骤
  1. 使用PuTTY工具以sopuser用户通过SSH方式登录到IAMToolService服务所在的任一节点。
  2. 执行如下命令,切换到root用户。

    su - root

    Password: root用户的密码

  3. 执行如下命令切换目录。

    cd /opt/oss/<产品名称>/etc/ssl/internal

    说明:

    <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

  4. 执行如下命令,设置“/opt/oss/<产品名称>/etc/ssl/internal”路径下的IR证书的密码和证书所在节点的IP地址。

    export cert_pwd_str=`cat cert_pwd`

    export cert_password=`su - sopuser -c "source /opt/oss/manager/bin/engr_profile.sh;python -c \"from util import ossext;plainText=ossext.Cipher.decrypt('$cert_pwd_str');print(plainText)\""`

    export IR_IP={当前登录的IAMToolService服务所在节点的IP地址}

  5. 执行如下命令,设置环境变量。

    export ER_IP={OTenantSecurity 节点的浮动IP地址}

  6. 执行如下命令,创建名称为“getToken.json”的JSON文件。

    vi getToken.json
    {"auth": {"identity":{"methods": ["password"],"password":{"user": {"name": "op_svc_iam","password":"op_svc_iam用户的密码","domain": {"name":"op_svc_iam"}}}},"scope": {"domain":{"name": "op_svc_iam"}}}}
    说明:

    password的值是用户op_svc_iam的密码,其缺省密码为“Changeme_123”。建议您定期修改密码,以提高系统安全性。

    按“Esc”键,执行:wq!命令保存文件并退出vi编辑器。

  7. 执行如下命令,获取op_svc_iam用户token和用户ID的值。

    curl -i -k -H 'Accept:application/json' -H 'Content-Type:application/json;charset=utf8' -X POST -d @getToken.json https://{$ER_IP}:31943/v3/auth/tokens

    响应体示例如下:

    HTTP/1.1 201 Created
    Server: product only
    Date: Fri, 22 Dec 2017 08:52:35 GMT
    Content-Type: application/json
    Transfer-Encoding: chunked
    Connection: keep-alive
    X-Subject-Token: MIIECwYJKoZIhvcNAQcCoIID-DCCA-gCAQExDTALBglghkgBZQMEAgEwggJLBgkqhkiG9w0BBwGgggI8BIICOHsidG9rZW4iOnsiaXNzdWVkX2F0IjoiMjAxNy0xMi0yMlQwODo1MjozNS4wNjYwMDBaIiwiZXhwaXJlc19hdCI6IjIwMTctMTItMjNUMDg6NTI6MzUuMDY2MDAwWiIsIm1ldGhvZHMiOlsicGFzc3dvcmQiXSwidXNlciI6eyJkb21haW4iOnsibmFtZSI6Im9wX3N2Y19pYW0iLCJpZCI6IjY3Zjk5ZWU1NjY4YjQ4ZWFhNjg3YWY3ODRmMGMwMjQ1In0sImlkIjoiMWI2ZDNlOGFiZGU2NDhjZDg4ZTA1MzkzMWEwYzc0M2QiLCJuYW1lIjoib3Bfc3ZjX2lhbSJ9LCJjYXRhbG9nIjpbXSwiZG9tYWluIjp7Im5hbWUiOiJvcF9zdmNfaWFtIiwiaWQiOiI2N2Y5OWVlNTY2OGI0OGVhYTY4N2FmNzg0ZjBjMDI0NSJ9LCJyb2xlcyI6W3sibmFtZSI6InRlX2FkbWluIiwiaWQiOiI5MmZlMzVmYTJiNTE0MTY5YTk4ZWY3YjRjZTk5ZTgyNSJ9LHsibmFtZSI6InNlY3VfYWRtaW4iLCJpZCI6ImNiYzNlZmQ5OGUzZDRhYTE5ZTI0ZWRkODM2NjkwZTE4In0seyJuYW1lIjoidGVfYWdlbmN5IiwiaWQiOiJmZGExNGY0YmZkMWY0OTE0ODAzOGJjMzg2MGQxZTQwZCJ9LHsiaWQiOiIwIiwibmFtZSI6Im9wX2lhbV9tZ210In1dfX0xggGTMIIBjwIBATBqMFMxEzARBgoJkiaJk-IsZAEZFgNuZXQxFTATBgoJkiaJk-IsZAEZFgVoa2NzbDESMBAGCgmSJomT8ixkARkWAm9hMREwDwYDVQQDEwhIS1QgUm9vdAITFQAAAVbIAIwuMjmktQAAAAABVjALBglghkgBZQMEAgEwDQYJKoZIhvcNAQEBBQAEggEABQ8QBqv+K1pxo7IJHjhzdNV0OOdiYYmtUHE-foUrr3HVchRyquQP8Ouw2B5z2zjQ3Ff+sI5S0wkCyrwjRazB5qBTzzI3ciaWUR+Y8nn6RbBzwulHPwEpZKRh40G3Kx-alw2PTT3uZkulAr2VPIklKaw7YNbOziOQwyQA6axM3tyJhSfforl-UZdtFIUuJ5w3FGBnU3b6zP9zG5FgrSU4zDMmZmzvO5Pw94CpW9vGS9EkSSBYbYyC34NkS6AUxmjTrbY6p2MRY7S8UVWPvKt+RWL0XhmhATOUSBeknoey8M5uLBP2uKdlV1-uxmpF+qJGuZpwZLpp1Sddoj4qxEHNRA==
    X-IAM-Trace-Id: RouteID-ir-1512607882-1541848
    
    {"token":{"issued_at":"2017-12-22T08:52:35.066000Z","expires_at":"2017-12-23T08:52:35.066000Z","methods":["password"],"user":{"domain":{"name":"op_svc_iam","id":"67f99ee5668b48eaa687af784f0c0245"},"id":"1b6d3e8abde648cd88e053931a0c743d","name":"op_svc_iam"},"catalog":[],"domain":{"name":"op_svc_iam","id":"67f99ee5668b48eaa687af784f0c0245"},"roles":[{"name":"te_admin","id":"92fe35fa2b514169a98ef7b4ce99e825"},{"name":"secu_admin","id":"cbc3efd98e3d4aa19e24edd836690e18"},{"name":"te_agency","id":"fda14f4bfd1f49148038bc3860d1e40d"},{"id":"0","name":"op_iam_mgmt"}]}}

  8. 执行以下命令记录op_svc_iam用户token和用户ID的值。

    export token={X-Subject-Token的值}

    export user_id={op_svc_iam的用户ID}

    说明:

    {X-Subject-Token的值}的值是步骤 7中,获取token响应体中的参数X-Subject-Token的值。

    {op_svc_iam的用户id}的值是步骤 7中,获取token响应体中用户op_svc_iam的user对应的id的值,例如1b6d3e8abde648cd88e053931a0c743d

  9. 执行如下命令,创建名称为“changePwd.json”的JSON文件。

    vi changePwd.json
    {"user":{"password":"op_svc_iam用户的新密码","original_password":"op_svc_iam用户的旧密码"}}

    按“Esc”键,执行:wq!命令保存文件并退出vi编辑器。

  10. 执行如下命令,修改op_svc_iam用户密码。

    curl -i -k -H "X-Auth-Token:$token" -H 'Content-Type:application/json;charset=utf8' -X POST -d @changePwd.json https://{$ER_IP}:31943/v3/users/{$user_id}/password

    • 如果返回码为204,说明修改op_svc_iam用户密码成功。
    • 否则,修改op_svc_iam用户密码失败,请联系技术支持工程师解决。

  11. 执行如下命令,删除文件。

    rm getToken.json

    rm changePwd.json

  12. 执行如下命令,退出root帐户。

    exit

修改非op_svc_iam缺省用户密码

非op_svc_iam缺省用户包括:preset_useriam_authuiop_teamiam_cacheproxy,为了确保这些用户的安全性,建议您定期修改这些用户的密码。

修改密码操作需要服务处于启动状态,异地容灾模式下只需要在生产站点执行。

前提条件
  • 已获取登录IAMToolService服务所在节点(任一节点)的sopuserossuser用户的密码。
  • 已获取统一身份认证服务预置用户preset_user的密码,缺省密码为“Changeme_123”。
  • 已获取需要修改密码的用户的当前密码。
操作步骤
  1. 使用PuTTY工具以sopuser用户通过SSH方式登录IAMToolService服务所在的任一节点。
  2. 执行如下命令,切换到ossuser用户。

    su - ossuser

    Password: ossuser用户的密码

  3. 执行如下命令切换目录。

    cd /opt/oss/<产品名称>/apps/IAMToolService/tools

    说明:

    <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

  4. 执行如下命令,创建名称为“modifyUser.json”的JSON文件。

    vi modifyUser.json
    {
    "user": {
    "name": "xxx",
    "oldpassword": "xxx",
    "newpassword": "xxx"
    }
    }
    说明:
    “name”为需要修改密码的用户的名称。“oldpassword”为用户的旧密码。“newpassword”为设置的新密码。新密码必须符合如下复杂度要求:
    • 不能是用户名或者用户名的倒序。
    • 不能少于6个字符且不超过32个字符。
    • 不能与最近一次的历史密码相同。
    • 包括大写字母(A~Z),小写字母(a~z),数字(0~9)和其他字符至少2种的组合。

    按“Esc”键,执行:wq!命令保存文件并退出vi编辑器。

  5. 执行如下命令,修改服务用户的密码。

    sh ServiceUserHandler.sh modifyPwd modifyUser.json
    Please enter preset_user's password:preset_user的密码
    • 显示“Operation successful.”,表示执行成功。modifyUser.json文件被自动删除。
    • 显示“Operation failed.”,表示执行失败。为了确保用户信息安全性,建议删除此文件并请联系技术支持工程师处理。

  6. 根据修改密码的用户不同,选择后续操作。

    • 如果修改iam_cacheproxy用户的密码,操作结束。
    • 如果修改preset_user用户的密码,请继续执行步骤 7步骤 8
    • 如果修改iam_authui用户的密码,请继续执行步骤 7步骤 9

  7. 执行如下命令加密新密码并记录密码密文。

    exit

    source /opt/oss/manager/bin/engr_profile.sh

    python -c "from util import ossext;import getpass;password=getpass.getpass(\"Please enter new password:\");plainText=ossext.Cipher.encrypt(password);print(plainText)"

    Please enter new password:需要加密的新密码

    显示类似如下信息为密码密文:

    000000010000000183FB731ABBB0183AACE7C9F052E49FCE879267032DAAEBF630EF757E1994147C

  8. 升级IAMToolService服务。

    在IAMToolService部署面添加一个配置项“IAMTOOL_USER_IMT”,配置值为preset_user用户的新密码密文。如果部署面该配置项已经存在,替换配置值为新密码密文即可,保证后续每次升级该配置项存在。
    1. 使用浏览器以admin用户登录部署面(https://服务部署系统浮动IP地址:31943/)。
    2. 选择“部署 > 微服务部署 > 环境列表”,进入“环境列表”页面。
    3. 单击“环境名称”列的“IAMToolService”。
    4. 单击“部署”。
    5. 新增配置项“IAMTOOL_USER_IMT”,并将其值设置为步骤 7中记录的preset_user用户的新密码密文。
      说明:

      如果部署面该配置项已经存在,替换配置值为新密码密文即可,保证后续每次升级该配置项存在。

    6. 单击“确定”。
      说明:

      异地容灾场景下,需在生产站点和容灾站点上执行8.a8.f的操作,以保证生产站点和容灾站点上的配置项保持一致。

  9. 升级IAMAuthWebsite服务。

    在IAMAuthWebsite部署面添加一个配置项“IAMAUTHUI_USER_IMT”,配置值为iam_authui用户的新密码密文。如果部署面该配置项已经存在,替换配置值为新密码密文即可,保证后续每次升级该配置项存在。
    1. 使用浏览器以admin用户登录部署面(https://服务部署系统浮动IP地址:31943/)。
    2. 选择“部署 > 微服务部署 > 环境列表”,进入“环境列表”页面。
    3. 单击“环境名称”列的“IAMAuthWebsite”。
    4. 单击“部署”。
    5. 新增配置项“IAMAUTHUI_USER_IMT”,并将其值设置为步骤 7中记录的iam_authui用户的新密码密文。
      说明:

      如果部署面该配置项已经存在,替换配置值为新密码密文即可,保证后续每次升级该配置项存在。

    6. 单击“确定”。
      说明:

      异地容灾场景下,需在生产站点和容灾站点上执行9.a9.f的操作,以保证生产站点和容灾站点上的配置项保持一致。

修改sdp_admin用户密码

sdp_admin用户用于SDP系统对接ManageOne。

操作步骤
  1. 在IAMToolService服务所在节点修改IAM接入用户的密码,密码修改方法参见修改非op_svc_iam缺省用户密码
  2. 同步修改第三方服务SDP的sdp_admin用户信息。
修改aep_admin用户密码

aep_admin用户用于SDP系统对接ManageOne。

操作步骤
  1. 在IAMToolService服务所在节点修改IAM接入用户的密码,密码修改方法参见修改非op_svc_iam缺省用户密码
  2. 同步修改第三方服务SDP的aep_admin用户信息。
修改vdc_admin用户密码

vdc_admin用户用于对接ManageOne,创建预置租户。

操作步骤
  1. 在IAMToolService服务所在节点修改IAM接入用户的密码,密码修改方法参见修改非op_svc_iam缺省用户密码
  2. 登录ManageOne运维面。
  3. 在菜单中选择系统管理 > 系统维护,进入“系统维护”页面。
  4. 在左侧导航配置信息管理选择管理系统对接
  5. 单击“machine-access”对应的“修改”

    弹出“修改配置”对话框。

  6. “配置项信息中”对用户密码进行修改。修改后单击“确定”。
修改iam_moauth用户密码

iam_moauth用户存在于FCD工具安装ManageOne场景下,用于Ceilometer对接ManageOne,上报ECS、EVS性能数据到ManageOne。当用户在MangeOne中修改iam_moauth帐号的密码后,需要在FusionSphere OpenStack控制节点(Type1场景下被级联层控制节点)同步修改iam_moauth帐号的密码。

操作步骤
  1. 在IAMToolService服务所在节点修改IAM接入用户的密码,密码修改方法参见修改非op_svc_iam缺省用户密码
  2. 使用PuTTY工具以fsp用户通过SSH方式登录被级联层FusionSphere OpenStack控制节点。

    默认密码:Huawei@CLOUD8。

  3. 执行如下命令,切换到root用户。

    su - root

    默认密码:Huawei@CLOUD8!。

    Password: root用户的密码

  4. 执行以下命令,导入环境变量

    source set_env

    选4,密码:FusionSphere123。

  5. 执行以下命令,开始更新对接ManageOne所需帐户的密码。

    PasswordManager

    提示信息:

    Input service:

  6. 输入以下命令并按“Enter”。

    ces_secret

  7. 输入新密码,并按“Enter”。

    说明:

    为了增强系统安全性,请定期修改帐户密码,避免密码泄露等安全风险。

    密码复杂度要求为:

    • 密码长度至少为8位。
    • 密码必须包含如下4种字符组合中的三种:

      小写字母、大写字母、数字、特殊字符:~!@#^&*()-_=|[{}];,<.>?

    • 密码不能为帐户或者帐户的倒写。
    • 不能与上一次密码相同。

  8. 再次输入新密码,并按“Enter。”

    配置成功后会回显“Password Reset Complete”。

修改op_svc_nfvo用户密码

op_svc_nfvo用户存在于脚本安装ManageOne场景下,用于NFVO系统对接ManageOne。

操作步骤
  1. 在IAMToolService服务所在节点修改IAM接入用户的密码,密码修改方法参考修改op_svc_iam用户密码
  2. 同步修改第三方服务NFVO的op_svc_nfvo用户信息。
修改console_admin的用户密码和AK/SK认证

console_admin是console框架用来交换token的默认用户,采用IAM的AK/SK认证。

修改console_admin 的用户密码
  1. 在IAMToolService服务所在节点修改IAM接入用户的密码,密码修改方法参见修改非op_svc_iam缺省用户密码
  2. 同步修改第三方服务的console_admin 用户信息。
修改AK/SK认证
  1. 使用PuTTY工具以sopuser用户通过SSH方式登录任一运营节点。
  2. 执行如下命令,切换到ossadm用户。

    su - ossadm

    Password:ossadm用户的密码

  3. 执行如下命令进行切换操作。

    cd /opt/oss/Product/apps/MOConsoleFrameworkWebsite/tool

    . /opt/oss/manager/agent/bin/engr_profile.sh

    python SecretKey_Ecrypted.py AK SK Website微服务名称

    命令中的参数名称参见表6-12,生成AK和SK的参见创建用户AK/SK API参考

    说明:
    表6-12 命令参数说明

    参数命令

    说明

    示例

    AK

    Access Key ID(AK):接入键标识

    S3GTZM1PDEEAM1KH5IDB

    SK

    Secret Access Key(SK):安全接入键

    A9eyqLR5dcrtEvR3t237jN7O82hBSzNE3Y7EfqHD

    Website微服务名称

    当前仅支持为motenantconsolehomewebsite修改AK/SK认证

    motenantconsolehomewebsite

  4. 完成替换后重启MOSilvanService 。

    1. 执行如下命令切换目录。

      cd /opt/oss/manager/agent/bin

    2. 执行如下命令重启MOSilvanService服务。

      ./ipmc_adm -cmd restartapp -app MOSilvanService

      回显信息如下表示重启成功:

      Stopping process mosilvanservice-42-0 ... success
      Starting process mosilvanservice-42-0 ... success

  5. 对其他运营面节点执行步骤 1~步骤 4
其他操作

若其他Website微服务需要用到token校验,通过以下操作替换新的AK/SK认证。

  1. 在/opt/oss/Product/apps/MOTenantConsoleHomeWebsite/webapps/motenantconsolehomewebsite/WEB-INF/classes/config 目录下获取credentials.properties文件替换要更新AK/SK微服务下的该文件。
  2. 重启替换文件Website微服务对应的主服务 。
修改rts_admin用户密码

资源模板服务提供AKSK认证方式,涉及内置服务用户用于租户认证。

对接IAM用户信息

资源模板服务提供的IAM内置服务用户缺省信息如下:

表6-13 内置服务用户信息

用户

租户

用户组

缺省密码

说明

rts_admin

op_service

services

FusionSphere123

资源模板服务内置服务用户。

说明:

为了提高系统安全,请及时修改以上用户缺省密码。

修改用户密码
  1. 登录DMK平台。
  2. 在左侧导航树中,选择“部署向导”。

    图6-2 部署向导

  3. 在“服务配置”栏,选择“RTS”。

    图6-3 服务配置

  4. 按照以下参数进行设置。

    • 选择版本:选择本次部署的软件包版本号。
    • 选择部署操作:选择“配置变更”。
    • 选择区域:“local”。
    • 主机仓库:“否”。
    • 灰度部署:“否”。

  5. 单击“下一步”,系统进入“节点和用户配置”。
  6. 选择所属“组”与预先添加的rts帐号。
  7. 单击“配置文件”的下拉按钮 ,左侧操作栏将会显示部署时所使用的配置文件信息,用户需要将iam_admin_password项引号中的值全部替换为加密后密文,其余配置信息保持默认。

    加密方法为登录openstack控制节点,修改密码以Huawei@123为例,执行如下命令:

    control-1:/home/fsp # python

    Python 2.7.5 (default, Feb 27 2017, 11:43:05)

    [GCC 4.8.3 20140911 (EulerOS 4.8.3-10.h1)] on linux2

    Type "help", "copyright", "credits" or "license" for more information.

    >>> from FSSecurity import crypt

    >>>crypt.encrypt("Huawei@123")

    '1XHuCP/YVDS3jZvlWsWnjKedzqj40xNKwm1dmGXN/Cc='

    >>>

    斜体部分为加密后信息,将该值作为配置项值。

  8. 配置文件修改完成后,节点配置文件无需修改,单击“执行”,开始更新密码。
  9. 查看任务执行状态。

    1. 在左侧导航树中,选择“历史任务”。
    2. 查找到该自动化任务,当“任务名称”栏的状态更新为时,表示任务执行成功。
    3. 单击“操作”栏下的“详情”,查看自动化任务运行详情。

  1. ossuser用户登录IAM服务器,进入IAMTool下的ServiceUserHandler.sh脚本所在目录。

    cd <安装目录>/<产品名称>/apps/IAMToolService/tools

  2. 准备需要修改密码的用户信息配置文件,为json格式,内容如下:

    {
    "user": {
    "name": "rts_admin",
    "oldpassword": "xxx",
    "newpassword": "xxx"
    }
    }

    “oldpassword”为旧密码,“newpassword”为新密码。这里假定文件名称为userPwd.json,并上传到命令工具的同目录下。

  3. 执行如下命令修改rts_admin用户密码。

    ./ServiceUserHandler.sh modifyPwd userPwd.json

    说明:

    执行命令后userPwd.json文件会被自动删除。

修改用户认证服务的用户密码

为保障unisession_admin用户安全,防止出现用户密码被暴力破解等安全风险,请修改相关用户默认密码。且建议定期(3个月)修改当前密码,并按指定密码规则设置新密码。

修改密码期间,用户管理部分功能会短暂不可用,密码修改完成后恢复。建议在业务量较小的时候完成操作。

前提条件
  • 已获取登录IAMToolService服务所在节点的ossadmsopuserossuser用户的密码。
  • 已获取OTenantSecurity服务预置用户preset_user的密码,preset_user用户的缺省密码是“Changeme_123”。
操作步骤
  1. 使用PuTTY工具以sopuser用户通过SSH方式登录IAMToolService服务所在的节点。
  2. 执行如下命令,切换到ossuser用户。

    su - ossuser

    Password: ossuser用户的密码

  3. 执行如下命令切换目录。

    cd /opt/oss/<产品名称>/apps/IAMToolService/tools

    说明:

    <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

  4. 创建modifyUser.json文件。

    1. 执行如下命令创建modifyUser.json文件。

      vi modifyUser.json

      modifyUser.json文件格式如下:
      {
      "user": {
      "name": "xxx",
      "oldpassword": "xxx",
      "newpassword": "xxx"
      }
      }
      说明:
      • “name”为需要修改密码的用户的名称。“oldpassword”为用户的旧密码。“newpassword”为设置的新密码。新密码建议符合如下复杂度要求:
        • 不能是用户名或者用户名的倒序。
        • 不能少于6个字符且不超过32个字符。
        • 不能与最近一次的历史密码相同。
        • 包括大写字母(A~Z),小写字母(a~z),数字(0~9)和其他字符至少2种的组合。
      • 请记录新密码,步骤 7中加密新密码时需要输入新密码。
    2. 先按“Esc”,然后执行:wq!命令,保存并退出编辑模式。

  5. 执行如下命令,修改服务用户的密码。

    sh ServiceUserHandler.sh modifyPwd modifyUser.json

  6. 根据提示输入preset_user的密码。

    Please enter preset_user's password:preset_user的密码
    • 显示“Operation successful.”,表示执行成功。modifyUser.json文件被自动删除。
    • 显示“Operation failed.”,表示执行失败。为了确保用户信息安全性,建议删除此文件并联系华为技术支持工程师处理。

  7. 执行如下命令使用osskey工具加密新密码,并记录密码密文。

    例如需要将密码修改为“Example@123”,执行如下命令加密新密码。

    su - ossadm

    Password: ossadm用户的密码

    cd /opt/oss/manager/bin

    . engr_profile.sh

    cd /opt/oss/manager/agent/bin

    ./osskey -cmd encryptpasswd

    New Password: Example@123
    Reenter New Password: Example@123

    根据提示两次输入新密码,按“Enter”,系统显示新密码密文如下:

    00000001000000023127C92CC698660C0F53E6400A248DD65F6F507AECB62DDBB3890B495C17B18F

  8. 同步修改UniSessionService服务中内置用户的配置文件。

    使用root用户在每个部署UniSessionService服务的应用节点上执行如下操作:

    1. 执行如下命令,切换到root用户。
      su - root
      Password: root用户的密码
    2. 执行如下命令,修改配置文件user.json中password字段的密码密文为步骤 7中修改后的新密码密文。

      vi /opt/oss/<产品名称>/apps/UniSessionService/pub/iam/user.json

      {
          "users" : [
              {
                  "name" : "unisession_admin",
                  "domain_name" : "op_service",
                  "bind_group": "services,cred",
                  "mobile" : "",
                  "email" : "",
                  "password" : "修改后的新密码密文",
                  "access" : "",
                  "secret" : ""
              }
          ]
      }
      说明:

      <产品名称>为文件路径,请根据实际情况进行替换,一般为Product、Product_O、Product_P、ies或SOP。

    3. 先按“Esc”,然后执行:wq!命令,保存并退出编辑模式。

  9. 执行如下命令重启UniSessionService服务:

    su - ossadm

    Password: ossadm用户的密码

    cd /opt/oss/manager/bin

    . engr_profile.sh

    cd /opt/oss/manager/agent/bin

    ipmc_adm -cmd restartapp -app UniSessionService

API管理的用户和密码

API管理提供了缺省的用户帐号和密码。为了确保系统安全,防止用户密码被暴力破解等安全风险,请修改相关用户缺省密码。且建议定期(3个月)修改当前密码,并按指定密码规则设置新密码。

API管理缺省用户信息

API管理提供缺省用户和缺省密码,并赋予这些用户不同的操作权限。了解这些用户能有利于您更快捷的进行操作。

表6-14 缺省用户信息

用户

缺省密码

说明

apiMgt_adm

Am@2016HW

API管理内置服务用户,用于AK(Access Key ID)/SK(Secret Access Key)认证方式,对应租户为op_service,所属用户组为services。

passinternats

WBaESpPNNOKEJsIK

API管理内部使用的消息队列系统NATS的认证用户。

paasinter

zieTmnYtSId0zCKX

API管理中APIGovernanceService的接口认证用户。

修改API管理的AK/SK认证用户apiMgt_adm密码

API管理服务提供AK/SK认证方式,通过apiMgt_adm进行签名认证,并根据请求中传入的公钥获取对应的私钥。为了确保帐号安全性,防止用户密码被暴力破解等安全风险,请修改该用户的缺省密码。且建议定期(3个月)修改当前密码,并按指定密码规则设置新密码。

操作步骤
  1. 使用PuTTY工具以sopuser用户通过SSH方式登录MinAPIGatewayService服务所在节点。
  2. 执行如下命令切换到ossuser用户。

    su - ossuser

    Password:ossuser用户的密码

  3. 进入修改密码脚本所在目录。

    cd /opt/oss/<产品名称>/apps/MinAPIGatewayService/bin

    说明:

    <产品名称>为文件路径,默认为Product,请根据实际情况进行替换,一般为Product、Product_O、ies或SOP。

  4. 执行如下命令修改MinAPIGatewayService服务中apiMgt_adm用户的密码。

    ./modifyApiMgrPwd.sh

    userName:apiMgt_adm
    old password:旧密码
    new password:新密码
    confirm new password:新密码
    说明:

    请确保新密码的长度为6~30个字符,并且至少保证有小写字母、大写字母、特殊字符(包含`~!@#$%^&*()-+|{};:",<.>/?_=)、数字中的2种,如输入为“Key1@test”。

    • 显示“success”,表示执行成功。
    • 显示“Username or password is invalid”或“Invalid, confirm new password failed!”,表示执行失败。请联系技术支持工程师处理。

  5. 使用PuTTY工具以sopuser用户通过SSH方式登录OTenantSecurity服务所在节点。
  6. 执行如下命令切换到ossuser用户。

    su - ossuser

    Password:ossuser用户的密码

  7. 进入ServiceUserHandler.sh脚本所在目录。

    cd /opt/oss/<产品名称>/apps/IAMToolService/tools

  8. 执行如下命令创建名称为“modifyUser.json”的JSON文件。

    vi modifyUser.json

    {
    "user": {
    "name": "apiMgt_adm",
    "oldpassword": "xxx",
    "newpassword": "xxx"
    }
    }
    说明:
    “name”为需要修改密码的用户的名称。“oldpassword”为用户的旧密码。“newpassword”为设置的新密码。新密码必须符合如下复杂度要求:
    • 不能是用户名或者用户名的倒序。
    • 不能少于6个字符且不超过32个字符。
    • 包括大写字母(A~Z),小写字母(a~z),数字(0~9)和其他字符至少2种的组合。

  9. 执行如下命令修改OTenantSecurity服务中apiMgt_adm用户的密码。

    ./ServiceUserHandler.sh modifyPwd modifyUser.json

    Please enter preset_user's password:preset_user的密码
    • 显示“Operation successful.”,表示执行成功。modifyUser.json文件被自动删除。
    • 显示“Operation failed.”,表示执行失败。为了确保用户信息安全性,建议删除此文件并请联系技术支持处理。

修改API管理的消息队列NATS认证用户passinternats密码

API管理服务提供了内部组件间通信的认证,通过passinternats进行消息队列NATS的认证。为了确保帐号安全性,防止用户密码被暴力破解等安全风险,请修改该用户的缺省密码。且建议定期(3个月)修改当前密码,并按指定密码规则设置新密码。

操作步骤
  1. 使用PuTTY工具以sopuser用户通过SSH方式登录MinAPIGatewayService服务所在节点。
  2. 执行如下命令切换到ossuser用户。

    su - ossuser

    Password:ossuser用户的密码

  3. 进入修改密码脚本所在目录。

    cd /opt/oss/<产品名称>/apps/MinAPIGatewayService/bin

    说明:

    <产品名称>为文件路径,默认为Product,请根据实际情况进行替换,一般为Product、Product_O、ies或SOP。

  4. 执行如下命令修改MinAPIGatewayService服务中passinternats用户的密码。

    ./modifyApiMgrPwd.sh

    userName: passinternats
    old password:旧密码
    new password:新密码
    confirm new password:新密码
    说明:

    请确保新密码的长度为6~30个字符,并且至少保证有小写字母、大写字母、特殊字符(包含`~!@#$%^&*()-+|{};:",<.>/?_=)、数字中的2种,如输入为“Key2@test”。

    • 显示“success”,表示执行成功。
    • 显示“Username or password is invalid”或“Invalid, confirm new password failed!”,表示执行失败。请联系技术支持处理。

  5. 执行如下命令修改MinAPIGatewayService服务中用于访问NATS服务的passinternats用户的密码。

    ./modifyAccessPwd.sh nats

    userName:passinternats
    old password:旧密码
    new password:新密码
    confirm new password:新密码
    说明:

    请确保新密码的长度为6~30个字符,并且至少保证有小写字母、大写字母、特殊字符(包含`~!@#$%^&*()-+|{};:",<.>/?_=)、数字中的2种,如输入为“Key2@test”。

    • 显示“Update password successfully”,表示执行成功。
    • 显示“Username or password is incorrect”或“Invalid, confirm new password failed!”,表示执行失败。请联系技术支持处理。

  6. 使用PuTTY工具以sopuser用户通过SSH方式登录APIGovernanceService服务所在节点。
  7. 执行如下命令切换到ossuser用户。

    su - ossuser

    Password:ossuser用户的密码

  8. 执行如下命令修改APIGovernanceService服务中用于访问NATS服务的passinternats用户的密码。

    ./modifyGovernancePwd.sh nats
    userName:passinternats
    old password:旧密码
    new password:新密码
    confirm new password:新密码
    说明:

    请确保新密码的长度为6~30个字符,并且至少保证有小写字母、大写字母、特殊字符(包含`~!@#$%^&*()-+|{};:",<.>/?_=)、数字中的2种,如输入为“Key2@test”。

    • 显示“Update NATS password successfully”,表示执行成功。
    • 显示“Username or password is incorrect”或“Invalid, confirm new password failed!”,表示执行失败。请联系技术支持处理。

修改API管理的接口认证用户paasinter密码

API管理服务提供了内部组件间通信的认证,通过paasinter进行APIGovernanceService的接口认证。为了确保帐号安全性,防止用户密码被暴力破解等安全风险,请修改该用户的缺省密码。且建议定期(3个月)修改当前密码,并按指定密码规则设置新密码。

操作步骤
  1. 使用PuTTY工具以sopuser用户通过SSH方式登录MinAPIGatewayService服务所在节点。
  2. 执行如下命令切换到ossuser用户。

    su - ossuser

    Password:ossuser用户的密码

  3. 进入修改密码脚本所在目录。

    cd /opt/oss/<产品名称>/apps/MinAPIGatewayService/bin

    说明:

    <产品名称>为文件路径,默认为Product,请根据实际情况进行替换,一般为Product、Product_O、ies或SOP。

  4. 执行如下命令修改MinAPIGatewayService服务与NATS服务通信的paasinter用户的密码。

    ./modifyAccessPwd.sh governance

    userName:paasinter
    old password:旧密码
    new password:新密码
    confirm new password:新密码
    说明:

    请确保新密码的长度为6~30个字符,并且至少保证有小写字母、大写字母、特殊字符(包含`~!@#$%^&*()-+|{};:",<.>/?_=)、数字中的2种,如输入为“Key2@test”。

    • 显示“Update password successfully”,表示执行成功。
    • 显示“Username or password is incorrect”或“Invalid, confirm new password failed!”,表示执行失败。请联系技术支持处理。

  5. 使用PuTTY工具以sopuser用户通过SSH方式登录APIGovernanceService服务所在节点。
  6. 执行如下命令切换到ossuser用户。

    su - ossuser

    Password:ossuser用户的密码

  7. 执行如下命令修改MinAPIGovernanceService服务与NATS服务通信的paasinter用户的密码。

    ./modifyGovernancePwd.sh governance

    userName:paasinter
    old password:旧密码
    new password:新密码
    confirm new password:新密码
    说明:

    请确保新密码的长度为6~30个字符,并且至少保证有小写字母、大写字母、特殊字符(包含`~!@#$%^&*()-+|{};:",<.>/?_=)、数字中的2种,如输入为“Key2@test”。

    • 显示“Update Governance password successfully”,表示执行成功。
    • 显示“Username or password is incorrect”或“Invalid, confirm new password failed!”,表示执行失败。请联系技术支持处理。

修改代理程序密码

服务部署系统提供缺省的证书申请密码。第一次登录系统后,需要修改初始密码以确保系统的安全性。周期性地修改代理程序密码,可提高系统的安全性。

前提条件

已登录服务部署系统。

背景信息
新密码需符合如下复杂度要求:
  • 密码不能包含用户名或者用户名的倒序。
  • 不能少于10个字符且不超过32个字符。
  • 至少包括一个大写字母(A~Z),一个小写字母(a~z),一个数字字符(0~9)。
  • 至少包括1个特殊字符(包括 !"#$%&'()*+,-./:;<=>?@[]^`{_|}~和空格)。
  • 不能与最近的3个历史密码重复。
  • 两次修改的时间间隔不能小于5分钟。
操作步骤
  1. 在主菜单中选择“部署资源 > 服务器”,在“服务器”页面中,单击目标服务器操作列的
  2. 在新打开的页面中,依次输入“代理程序旧密码”、“代理程序新密码”、“确认代理程序新密码”。
  3. 单击“确定”。
  4. sopuser用户登录服务器,执行如下命令,切换到root用户。

    su - root

    Password:用户密码

  5. 使用osskey工具将后台代理程序密码修改为与前台输入的一致。

    su - ossadm

    . 安装目录/manager/bin/engr_profile.sh

    osskey -cmd chregpasswd

    Are you sure to change agent register password(Y/N): Y
    New Password: 代理程序新密码
    Reenter New Password: 代理程序新密码
    Execute osskey cmd:chregpasswd Successful

翻译
下载文档
更新时间:2019-01-25

文档编号:EDOC1100015665

浏览量:29764

下载量:797

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页