Dépannage des problèmes OpenLDAP

Vous consultez la documentation d'Apigee Edge.
Consultez la documentation Apigee X. en savoir plus

Cette section fournit des informations et des conseils sur la résolution des problèmes OpenLDAP.

SMTP est désactivé et les utilisateurs doivent réinitialiser le mot de passe

Problème constaté

Lorsque SMTP n'est pas configuré dans l'interface utilisateur Edge, les nouveaux utilisateurs ajoutés à Edge ont besoin d'un moyen de définir un mot de passe.

Messages d'erreur

Unknown username and password combination.

Causes possibles :

Les nouveaux utilisateurs ne peuvent pas recevoir d'e-mails à partir du lien "Mot de passe oublié ?" pour définir un mot de passe, car SMTP n'est pas configuré.

Résolution

Vous pouvez résoudre ce problème de l'une des manières suivantes:

Solution 1 : Configurer le serveur SMTP

Configurez le serveur SMTP pour définir un nouveau mot de passe pour l'utilisateur en suivant les instructions fournies dans la documentation.

Solution n° 2: Utiliser LDAP

Si vous ne parvenez pas à configurer le serveur SMTP, définissez le nouveau mot de passe d'un utilisateur à l'aide des commandes LDAP ci-dessous:

  1. Un administrateur d'entreprise existant doit ajouter l'utilisateur spécifique via l'interface utilisateur Edge, comme indiqué ci-dessous:

  2. Utilisez la commande ldapsearch pour rechercher le nom distinctif (dn) de l'utilisateur et rediriger la sortie vers un fichier : 
    ldapsearch -w Secret123 -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 > ldap.txt

    Voici un exemple d'entrée dn pour un utilisateur, avec les attributs de l'utilisateur:

    dn:uid=f7a4a4a5-7c43-4168-a47e-6e9a1417cc29,ou=users,ou=global,dc=apigee,dc=com
mail: apigee_validator@apigee.com
userPassword:: e1NTSEF9b0FrMFFXVmFjbWRxM1BVaFZzMnllWGZMdkNvNjMwNTJlUDZYN3c9PQ=
 =
uid: f7a4a4a5-7c43-4168-a47e-6e9a1417cc29
objectClass: inetOrgPerson
sn: Validator
cn: apigee
  3. Ouvrez le fichier ldap.txt et recherchez le nom d'utilisateur du nouvel utilisateur qui a été ajouté en fonction de l'attribut d'adresse e-mail du nouvel utilisateur.
  4. Exécutez la commande ldappassword pour ajouter un mot de passe pour le nouvel utilisateur à l'aide de son nom d'utilisateur. Dans cet exemple, vous définissez le mot de passe de l'utilisateur sur Apigee123 : 
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s Apigee123
"uid=f7a4a4a5-7c43-4168-a47e-6e9a1417cc29,ou=users,ou=global,dc=apigee,dc=com"
  5. Connectez-vous à l'interface utilisateur Edge en tant que nouvel utilisateur avec le mot de passe défini à l'étape précédente. L'utilisateur peut définir un nouveau mot de passe une fois connecté à l'interface utilisateur.

LDAP non répliqué

Problème constaté

De nombreuses installations en périphérie comportent plusieurs centres de données, par exemple DC-1 et DC-2. Lorsque vous vous connectez à l'interface utilisateur Edge dans DC-1 en tant qu'administrateur de l'organisation, vous pouvez afficher la liste des utilisateurs, mais la même liste d'utilisateurs n'apparaît pas dans l'interface utilisateur Edge dans DC-2.

Messages d'erreur

Aucune erreur n'apparaît, l'interface utilisateur Edge n'affiche tout simplement pas la liste des utilisateurs qui auraient dû être répliqués sur tous les serveurs OpenLDAP.

Causes possibles :

En général, ce problème est dû à une configuration de réplication OpenLDAP mal configurée, et non à l'installation elle-même. En outre, la réplication peut s'interrompre si le réseau entre les serveurs OpenLDAP n'autorise pas le trafic sur le port 10389.

Diagnostic

Pour diagnostiquer le problème, procédez comme suit:

  1. Vérifiez si ldapsearch renvoie les données de chaque serveur OpenLDAP : 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h <host-ip> -p 10389
  2. Vérifiez si vous pouvez vous connecter à chaque nœud OpenLDAP à partir des autres nœuds OpenLDAP sur le port 10389. Si telnet est installé, exécutez la commande suivante : 
    telnet <OpenLDAP_Peer_IP> 10389
  3. Si telnet n'est pas disponible, utilisez netcat pour vérifier la connectivité comme suit: 

    nc -vz <OpenLDAP_Peer_IP> 10389
  4. Vérifiez la configuration de la réplication dans le fichier suivant : 
    /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif

    Le fichier doit contenir une configuration de ce type:

    olcSyncRepl: rid=001
  provider=ldap://__OTHER_LDAP_SERVER__/
  binddn="cn=manager,dc=apigee,dc=com"
  bindmethod=simple
  credentials=__LDAP_PASSWORD__
  searchbase="dc=apigee,dc=com"
  attrs="*,+"
  type=refreshAndPersist
  retry="60 1 300 12 7200 +"
  timeout=1
  5. Vérifiez également la valeur de l'attribut olcMirrorMode dans le même fichier. Il doit être défini sur la valeur TRUE : 
    grep olcMirrorMode /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  6. Recherchez des règles iptables et de wrapper tcp. Veuillez supprimer toutes les règles qui n'autorisent pas les serveurs OpenLDAP pairs à communiquer entre eux. Collaborez avec votre administrateur réseau pour définir les règles de manière appropriée.
  7. Assurez-vous que le mot de passe du système OpenLDAP est le même sur chaque nœud OpenLDAP.
  8. Recherchez les caractères cachés dans les fichiers de configuration ldif utilisés pour configurer la réplication OpenLDAP N-Way en exécutant dos2unix sur les fichiers ldif créés pour mettre à jour la configuration. En règle générale, un fichier ldif contenant des caractères incorrects entraîne l'échec de l'exécution de la commande ldapmodify. La réplication peut donc ne pas être configurée. Supprimez tous les caractères incorrects et enregistrez les fichiers de configuration.

Si le problème persiste, contactez l' assistance Apigee pour obtenir de l'aide sur la configuration de la réplication OpenLDAP N-Way.

Impossible de démarrer OpenLDAP

Problème constaté

OpenLDAP ne démarre pas.

Messages d'erreur

SLAPD Dead But Pid File Exists

Causes possibles :

Ce problème est généralement causé par un fichier de verrouillage qui est laissé sur le système de fichiers et doit être supprimé.

Diagnostic

Pour diagnostiquer ce problème, procédez comme suit:

  1. Recherchez un verrouillage de processus slapd OpenLDAP ou un fichier PID à l'emplacement suivant : 
    /opt/apigee/var/run/apigee-openldap/apigee-openldap.lock
/opt/apigee/var/run/apigee-openldap/apigee-openldap.pid
  2. Si vous les trouvez, supprimez le fichier de verrouillage et le fichier PID, puis redémarrez openldap. 
    rm /opt/apigee/var/run/apigee-openldap/apigee-openldap.lock
Rm /opt/apigee/var/run/apigee-openldap/apigee-openldap.pid
  3. Si le processus slapd d’OpenLDAP démarre, ignorez les étapes ci-dessous.
  4. Si le processus slapd d'OpenLDAP ne démarre pas, essayez d'exécuter slapd en mode débogage et recherchez les erreurs éventuelles : 
    slapd -h ldap://:10389/ -u apigee -F /opt/apigee/data/apigee-openldap/slapd.d -d 255
  5. Les erreurs peuvent indiquer des problèmes de ressources. Vérifiez l'utilisation de la mémoire et du processeur sur le système.
  6. Vérifiez la version d’OpenLDAP et mettez-la à niveau si elle est ancienne. Vérifiez les versions compatibles d'OpenLDAP dans notre document Logiciels compatibles. 
    slapd -V
  7. Utilisez strace pour résoudre les problèmes de processus slapd et fournir une sortie strace à l' assistance Apigee : 
    strace -tt -T -f -F -i -v -e read=all -s 8192 -e write=all -o /tmp/strace.out -p <pid>

Corruption de données OpenLDAP

Problème constaté

Les utilisateurs ne peuvent plus exécuter d'appels de gestion ni se connecter à l'interface utilisateur Edge. L'utilisation de l'utilitaire ldapsearch pour interroger les utilisateurs peut indiquer que ceux-ci se trouvent dans le datastore LDAP, ou identifier d'éventuels rôles ou utilisateurs manquants.

Messages d'erreur

Unknown username and password combination.

Causes possibles :

Généralement, ce problème peut être observé en raison de la corruption des données OpenLDAP. Habituellement, les données OpenLDAP ne sont pas corrompues. Toutefois, dans les rares cas où cela se produit, la corruption peut être due à une défaillance du disque système ou à des problèmes d'espace disque.

Diagnostic

  1. À l'aide de la commande ci-dessous, vérifiez l'espace disque sur le système sur lequel OpenLDAP est installé : 
    du -m /opt
  2. Si vous constatez que l'espace disque utilisé est très proche de 100%, cela signifie que votre système est à court d'espace disque.

Résolution

Si votre système est à court d'espace disque ou s'il en est très proche, ajoutez de l'espace disque pour vous assurer de disposer d'un espace disque suffisant.

Une fois que vous disposez d'un espace disque suffisant, utilisez l'une des solutions ci-dessous pour résoudre le problème de corruption des données LDAP:

  1. Restaurez les données OpenLDAP à partir de la sauvegarde.
  2. Nettoyer la base de données OpenLDAP.

Solution 1 : Restaurez les données LDAP à partir de la sauvegarde

Sur un nœud OpenLDAP opérationnel, effectuez une sauvegarde. La sauvegarde doit être effectuée régulièrement. Consultez le guide des opérations sur le cloud privé Apigee pour connaître les bonnes pratiques en matière de sauvegardes:

slapcat -F /opt/apigee/data/apigee-openldap/slapd.d -l /tmp/ldap-backup.ldif

Les étapes suivantes peuvent être utilisées pour restaurer les données OpenLDAP à partir d’une bonne sauvegarde.

  1. Arrêtez le nœud OpenLDAP dont les données doivent être restaurées : 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap stop
  2. Passez au répertoire de données OpenLDAP : 
    cd /opt/apigee/data/apigee-openldap
  3. Sauvegardez les données OpenLDAP existantes à l'aide de la commande move : 
    mv ldap ldap_orig
    .
  4. Passez à l'utilisateur Apigee : 
    su apigee
    .
  5. Dans l'annuaire /opt/apigee/data/apigee-openldap, créez un annuaire de données OpenLDAP portant le nom d'origine : 
    mkdir ldap
  6. Effectuez la sauvegarde du sous-répertoire ldap_orig/DB_CONFIG créé à l'étape 3, puis copiez-le dans le répertoire openldap. 
    cp ldap_orig/DB_CONFIG ldap
  7. Pour restaurer les données à partir d'une sauvegarde effectuée avec slapcat, utilisez slapadd pour importer le ldif qui contient les bonnes données : 
    slapadd -F /opt/apigee/data/apigee-openldap/slapd.d -l /tmp/ldap-backup.ldif
  8. Démarrez le processus OpenLDAP : 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap start

Solution 2 : Nettoyer la base de données LDAP

Les étapes suivantes permettent d’effacer la base de données OpenLDAP pour repartir de zéro. Cette solution peut être utilisée s'il n'existe pas de sauvegarde des données du dernier état dans lequel les données OpenLDAP fonctionnaient.

  1. Arrêtez le service OpenLDAP : 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap stop
  2. Passez au répertoire de données OpenLDAP : 
    cd /opt/apigee/data/apigee-openldap
  3. Sauvegardez les données OpenLDAP existantes à l'aide de la commande move : 
    mv ldap ldap_orig
    .
  4. Passez à l'utilisateur Apigee : 
    su apigee
    .
  5. Créez un annuaire de données OpenLDAP portant le nom d'origine : 
    mkdir ldap
  6. Copiez le sous-répertoire ldap_orig/DB_CONFIG de sauvegarde créé à l'étape 3 dans le répertoire openldap : 
    cp ldap_orig/DB_CONFIG ldap
  7. Redémarrez le processus OpenLDAP : 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap start
  8. Redémarrez le serveur de gestion pour forcer l'actualisation des connexions à OpenLDAP : 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Solution 3 : Rétablir une installation de base d'OpenLDAP

Si la solution n° 2 ne résout pas le problème, vous pouvez rétablir OpenLDAP sur une installation de base, comme décrit dans cette section.

Conditions préalables

Pour réinitialiser OpenLDAP, vous devez remplir les conditions préalables suivantes:

  • Possibilité d'exécuter la configuration avec des identifiants d'administrateur système et des identifiants LDAP racine.
  • Accès à l'utilitaire ldapadd.
  • Fichier de configuration silencieuse d'origine enregistré pour le nœud de gestion/LDAP.

Pour réinitialiser OpenLDAP, procédez comme suit:

  1. Réinstallez OpenLDAP et le serveur de gestion.
    1. Arrêtez le serveur openldap : 
      apigee-service apigee-openldap stop
    2. Supprimez le dossier de données openldap corrompu : 
      rm -rf /opt/apigee/data/apigee-openldap
    3. Désinstallez le composant openldap : 
      apigee-service apigee-openldap uninstall
    4. Réinstallez le composant openldap à l'aide du même fichier de configuration que celui utilisé pour l'installation initiale : 
      /opt/apigee/apigee-setup/bin/setup.sh -p ld -f configfile
      , où configfile est le nom du fichier de configuration.
    5. Réinstallez le serveur de gestion à l'aide du fichier de configuration d'origine : 
      /opt/apigee/apigee-setup/bin/setup.sh -p ms -f configfile

    After doing these steps, Management API calls should work again using the sysadmin account only. However, it will not be possible to log into the Edge UI, and Management API calls with any other users will not work.

  2. Add missing openldap entries for orgs that existed prior to the corruption.

    After the above step is completed, openldap will be missing entries for orgs that existed when the corruption occurred. The majority of the actual org data such as proxy bundles is stored in Cassandra or Zookeeper is not lost. However, running the setup-org script will not automatically add the openldap data for the orgs that already exist in Cassandra, and Zookeeper. This data has to be added manually for every org that existed prior to the corruption using the following steps:

    1. Create an ldif file called missingLDAP.ldif with the following content: 
      # orgname, organizations, apigee.com
dn: o=orgname,ou=organizations,dc=apigee,dc=com
objectClass: organization
O: orgname

# userroles, orgname, organizations, apigee.com
dn: ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
ou: userroles
objectClass: organizationalUnit

# orgadmin, userroles, orgname, organizations, apigee.com
dn: cn=orgadmin,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
objectClass: organizationalRole
cn: orgadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com

# resources, orgadmin, userroles, orgname, organizations, apigee.com
dn: ou=resources,cn=orgadmin,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
ou: resources
objectClass: organizationalUnit

# @@@, resources, orgadmin, userroles, orgname, organizations, apigee.com
dn: cn=@@@,ou=resources,cn=orgadmin,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
roleOccupant: ou=delete,ou=permissions,dc=apigee,dc=com
roleOccupant: ou=get,ou=permissions,dc=apigee,dc=com
roleOccupant: ou=put,ou=permissions,dc=apigee,dc=com
labeledURI: /
objectClass: organizationalRole
objectClass: labeledURIObject
cn: @@@
      .

      orgname est l'organisation que vous essayez de recréer.

    2. Ajoutez les entités LDAP manquantes à l'aide de la commande suivante : 
      ldapadd -x -w  -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f missingLDAP.ldif

    Les étapes ci-dessus créent les entrées manquantes d'une organisation existante, ainsi que les autorisations orgadmin pour cette organisation. Répétez la procédure pour chaque organisation qui doit être recréée. À ce stade, vous pouvez ajouter des utilisateurs orgadmin à une organisation, mais les autres rôles par défaut n'existent pas encore. Vous devrez les ajouter à l'étape suivante.

  3. Ajoutez les autorisations et rôles par défaut manquants à une organisation existante.

    À l'aide du même fichier de configuration que celui utilisé pour configurer l'une des organisations existantes, exécutez la commande suivante:

    /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-roles -f configfile

    4. Après avoir suivi cette procédure, vous devez effectuer les opérations suivantes manuellement:

    • Ajoutez tous les rôles personnalisés qui existaient avant la corruption à l'aide de l'interface utilisateur ou de l'API de gestion.
    • Ajoutez des utilisateurs aux rôles utilisateur appropriés.

  4. (Facultatif) Rétablissement de la configuration de l'authentification externe dans la gestion.

    Restaurez /opt/apigee/customer/application/management-server.properties si la configuration n'a pas changé. Comme l'UI n'a pas été réinstallée, le /opt/apigee/customer/application/ui.properties devrait rester le même, car les identifiants de l'administrateur système ont été restaurés avec la nouvelle installation de la gestion.

  5. (Facultatif) Réinstallez Apigee mTLS sur le nœud de gestion.

    Si Apigee mTLS a déjà été installé, suivez le guide d'installation d'Apigee mTLS pour le réinstaller sur le nœud du serveur de gestion.

Si le problème persiste, contactez l'assistance Apigee pour obtenir de l'aide.