Vous consultez la documentation d'Apigee Edge.
Consultez la
documentation Apigee X. en savoir plus
Cette section fournit des informations et des conseils sur la résolution des problèmes OpenLDAP.
SMTP est désactivé et les utilisateurs doivent réinitialiser le mot de passe
Problème constaté
Lorsque SMTP n'est pas configuré dans l'interface utilisateur Edge, les nouveaux utilisateurs ajoutés à Edge ont besoin d'un moyen de définir un mot de passe.
Messages d'erreur
Unknown username and password combination.
Causes possibles :
Les nouveaux utilisateurs ne peuvent pas recevoir d'e-mails à partir du lien "Mot de passe oublié ?" pour définir un mot de passe, car SMTP n'est pas configuré.
Résolution
Vous pouvez résoudre ce problème de l'une des manières suivantes:
Solution 1 : Configurer le serveur SMTP
Configurez le serveur SMTP pour définir un nouveau mot de passe pour l'utilisateur en suivant les instructions fournies dans la documentation.
Solution n° 2: Utiliser LDAP
Si vous ne parvenez pas à configurer le serveur SMTP, définissez le nouveau mot de passe d'un utilisateur à l'aide des commandes LDAP ci-dessous:
- Un administrateur d'entreprise existant doit ajouter l'utilisateur spécifique via l'interface utilisateur Edge, comme indiqué ci-dessous:
- Utilisez la commande ldapsearch pour rechercher le nom distinctif (dn) de l'utilisateur et rediriger la sortie vers un fichier :
ldapsearch -w Secret123 -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 > ldap.txt
Voici un exemple d'entrée dn pour un utilisateur, avec les attributs de l'utilisateur:
dn:uid=f7a4a4a5-7c43-4168-a47e-6e9a1417cc29,ou=users,ou=global,dc=apigee,dc=com mail: apigee_validator@apigee.com userPassword:: e1NTSEF9b0FrMFFXVmFjbWRxM1BVaFZzMnllWGZMdkNvNjMwNTJlUDZYN3c9PQ= = uid: f7a4a4a5-7c43-4168-a47e-6e9a1417cc29 objectClass: inetOrgPerson sn: Validator cn: apigee
- Ouvrez le fichier ldap.txt et recherchez le nom d'utilisateur du nouvel utilisateur qui a été ajouté en fonction de l'attribut d'adresse e-mail du nouvel utilisateur.
- Exécutez la commande ldappassword pour ajouter un mot de passe pour le nouvel utilisateur à l'aide de son nom d'utilisateur. Dans cet exemple, vous définissez le mot de passe de l'utilisateur sur Apigee123 :
ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s Apigee123 "uid=f7a4a4a5-7c43-4168-a47e-6e9a1417cc29,ou=users,ou=global,dc=apigee,dc=com"
- Connectez-vous à l'interface utilisateur Edge en tant que nouvel utilisateur avec le mot de passe défini à l'étape précédente. L'utilisateur peut définir un nouveau mot de passe une fois connecté à l'interface utilisateur.
LDAP non répliqué
Problème constaté
De nombreuses installations en périphérie comportent plusieurs centres de données, par exemple DC-1 et DC-2. Lorsque vous vous connectez à l'interface utilisateur Edge dans DC-1 en tant qu'administrateur de l'organisation, vous pouvez afficher la liste des utilisateurs, mais la même liste d'utilisateurs n'apparaît pas dans l'interface utilisateur Edge dans DC-2.
Messages d'erreur
Aucune erreur n'apparaît, l'interface utilisateur Edge n'affiche tout simplement pas la liste des utilisateurs qui auraient dû être répliqués sur tous les serveurs OpenLDAP.
Causes possibles :
En général, ce problème est dû à une configuration de réplication OpenLDAP mal configurée, et non à l'installation elle-même. En outre, la réplication peut s'interrompre si le réseau entre les serveurs OpenLDAP n'autorise pas le trafic sur le port 10389.
Diagnostic
Pour diagnostiquer le problème, procédez comme suit:
- Vérifiez si ldapsearch renvoie les données de chaque serveur OpenLDAP :
ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h <host-ip> -p 10389
- Vérifiez si vous pouvez vous connecter à chaque nœud OpenLDAP à partir des autres nœuds OpenLDAP sur le port 10389.
Si telnet est installé, exécutez la commande suivante :
telnet <OpenLDAP_Peer_IP> 10389
-
Si telnet n'est pas disponible, utilisez netcat pour vérifier la connectivité comme suit:
nc -vz <OpenLDAP_Peer_IP> 10389
- Vérifiez la configuration de la réplication dans le fichier suivant :
/opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
Le fichier doit contenir une configuration de ce type:
olcSyncRepl: rid=001 provider=ldap://__OTHER_LDAP_SERVER__/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials=__LDAP_PASSWORD__ searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
- Vérifiez également la valeur de l'attribut olcMirrorMode dans le même fichier. Il doit être défini sur la valeur TRUE :
grep olcMirrorMode /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
- Recherchez des règles iptables et de wrapper tcp. Veuillez supprimer toutes les règles qui n'autorisent pas les serveurs OpenLDAP pairs à communiquer entre eux. Collaborez avec votre administrateur réseau pour définir les règles de manière appropriée.
- Assurez-vous que le mot de passe du système OpenLDAP est le même sur chaque nœud OpenLDAP.
- Recherchez les caractères cachés dans les fichiers de configuration ldif utilisés pour configurer la réplication OpenLDAP N-Way en exécutant dos2unix sur les fichiers ldif créés pour mettre à jour la configuration. En règle générale, un fichier ldif contenant des caractères incorrects entraîne l'échec de l'exécution de la commande ldapmodify. La réplication peut donc ne pas être configurée. Supprimez tous les caractères incorrects et enregistrez les fichiers de configuration.
Si le problème persiste, contactez l' assistance Apigee pour obtenir de l'aide sur la configuration de la réplication OpenLDAP N-Way.
Impossible de démarrer OpenLDAP
Problème constaté
OpenLDAP ne démarre pas.
Messages d'erreur
SLAPD Dead But Pid File Exists
Causes possibles :
Ce problème est généralement causé par un fichier de verrouillage qui est laissé sur le système de fichiers et doit être supprimé.
Diagnostic
Pour diagnostiquer ce problème, procédez comme suit:
- Recherchez un verrouillage de processus slapd OpenLDAP ou un fichier PID à l'emplacement suivant :
/opt/apigee/var/run/apigee-openldap/apigee-openldap.lock /opt/apigee/var/run/apigee-openldap/apigee-openldap.pid
- Si vous les trouvez, supprimez le fichier de verrouillage et le fichier PID, puis redémarrez openldap.
rm /opt/apigee/var/run/apigee-openldap/apigee-openldap.lock Rm /opt/apigee/var/run/apigee-openldap/apigee-openldap.pid
- Si le processus slapd d’OpenLDAP démarre, ignorez les étapes ci-dessous.
- Si le processus slapd d'OpenLDAP ne démarre pas, essayez d'exécuter slapd en mode débogage et recherchez les erreurs éventuelles :
slapd -h ldap://:10389/ -u apigee -F /opt/apigee/data/apigee-openldap/slapd.d -d 255
- Les erreurs peuvent indiquer des problèmes de ressources. Vérifiez l'utilisation de la mémoire et du processeur sur le système.
- Vérifiez la version d’OpenLDAP et mettez-la à niveau si elle est ancienne. Vérifiez les versions compatibles d'OpenLDAP dans notre document Logiciels compatibles.
slapd -V
- Utilisez strace pour résoudre les problèmes de processus slapd et fournir une sortie strace à l'
assistance Apigee :
strace -tt -T -f -F -i -v -e read=all -s 8192 -e write=all -o /tmp/strace.out -p <pid>
Corruption de données OpenLDAP
Problème constaté
Les utilisateurs ne peuvent plus exécuter d'appels de gestion ni se connecter à l'interface utilisateur Edge. L'utilisation de l'utilitaire ldapsearch pour interroger les utilisateurs peut indiquer que ceux-ci se trouvent dans le datastore LDAP, ou identifier d'éventuels rôles ou utilisateurs manquants.
Messages d'erreur
Unknown username and password combination.
Causes possibles :
Généralement, ce problème peut être observé en raison de la corruption des données OpenLDAP. Habituellement, les données OpenLDAP ne sont pas corrompues. Toutefois, dans les rares cas où cela se produit, la corruption peut être due à une défaillance du disque système ou à des problèmes d'espace disque.
Diagnostic
- À l'aide de la commande ci-dessous, vérifiez l'espace disque sur le système sur lequel OpenLDAP est installé :
du -m /opt
- Si vous constatez que l'espace disque utilisé est très proche de 100%, cela signifie que votre système est à court d'espace disque.
Résolution
Si votre système est à court d'espace disque ou s'il en est très proche, ajoutez de l'espace disque pour vous assurer de disposer d'un espace disque suffisant.
Une fois que vous disposez d'un espace disque suffisant, utilisez l'une des solutions ci-dessous pour résoudre le problème de corruption des données LDAP:
- Restaurez les données OpenLDAP à partir de la sauvegarde.
- Nettoyer la base de données OpenLDAP.
Solution 1 : Restaurez les données LDAP à partir de la sauvegarde
Sur un nœud OpenLDAP opérationnel, effectuez une sauvegarde. La sauvegarde doit être effectuée régulièrement. Consultez le guide des opérations sur le cloud privé Apigee pour connaître les bonnes pratiques en matière de sauvegardes:
slapcat -F /opt/apigee/data/apigee-openldap/slapd.d -l /tmp/ldap-backup.ldif
Les étapes suivantes peuvent être utilisées pour restaurer les données OpenLDAP à partir d’une bonne sauvegarde.
- Arrêtez le nœud OpenLDAP dont les données doivent être restaurées :
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap stop
- Passez au répertoire de données OpenLDAP :
cd /opt/apigee/data/apigee-openldap
- Sauvegardez les données OpenLDAP existantes à l'aide de la commande move :
mv ldap ldap_orig
. - Passez à l'utilisateur Apigee :
su apigee
. - Dans l'annuaire
/opt/apigee/data/apigee-openldap
, créez un annuaire de données OpenLDAP portant le nom d'origine :mkdir ldap
- Effectuez la sauvegarde du sous-répertoire ldap_orig/DB_CONFIG créé à l'étape 3, puis copiez-le dans le répertoire openldap.
cp ldap_orig/DB_CONFIG ldap
- Pour restaurer les données à partir d'une sauvegarde effectuée avec slapcat, utilisez slapadd pour importer le ldif qui contient les bonnes données :
slapadd -F /opt/apigee/data/apigee-openldap/slapd.d -l /tmp/ldap-backup.ldif
- Démarrez le processus OpenLDAP :
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap start
Solution 2 : Nettoyer la base de données LDAP
Les étapes suivantes permettent d’effacer la base de données OpenLDAP pour repartir de zéro. Cette solution peut être utilisée s'il n'existe pas de sauvegarde des données du dernier état dans lequel les données OpenLDAP fonctionnaient.
- Arrêtez le service OpenLDAP :
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap stop
- Passez au répertoire de données OpenLDAP :
cd /opt/apigee/data/apigee-openldap
- Sauvegardez les données OpenLDAP existantes à l'aide de la commande move :
mv ldap ldap_orig
. - Passez à l'utilisateur Apigee :
su apigee
. - Créez un annuaire de données OpenLDAP portant le nom d'origine :
mkdir ldap
- Copiez le sous-répertoire ldap_orig/DB_CONFIG de sauvegarde créé à l'étape 3 dans le répertoire openldap :
cp ldap_orig/DB_CONFIG ldap
- Redémarrez le processus OpenLDAP :
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap start
- Redémarrez le serveur de gestion pour forcer l'actualisation des connexions à OpenLDAP :
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Solution 3 : Rétablir une installation de base d'OpenLDAP
Si la solution n° 2 ne résout pas le problème, vous pouvez rétablir OpenLDAP sur une installation de base, comme décrit dans cette section.
Conditions préalables
Pour réinitialiser OpenLDAP, vous devez remplir les conditions préalables suivantes:
- Possibilité d'exécuter la configuration avec des identifiants d'administrateur système et des identifiants LDAP racine.
- Accès à l'utilitaire
ldapadd
. - Fichier de configuration silencieuse d'origine enregistré pour le nœud de gestion/LDAP.
Pour réinitialiser OpenLDAP, procédez comme suit:
- Réinstallez OpenLDAP et le serveur de gestion.
- Arrêtez le serveur
openldap
:apigee-service apigee-openldap stop
- Supprimez le dossier de données
openldap
corrompu :rm -rf /opt/apigee/data/apigee-openldap
- Désinstallez le composant
openldap
:apigee-service apigee-openldap uninstall
- Réinstallez le composant
openldap
à l'aide du même fichier de configuration que celui utilisé pour l'installation initiale :/opt/apigee/apigee-setup/bin/setup.sh -p ld -f configfile
, oùconfigfile
est le nom du fichier de configuration. - Réinstallez le serveur de gestion à l'aide du fichier de configuration d'origine :
/opt/apigee/apigee-setup/bin/setup.sh -p ms -f configfile
After doing these steps, Management API calls should work again using the
sysadmin
account only. However, it will not be possible to log into the Edge UI, and Management API calls with any other users will not work. - Arrêtez le serveur
- Add missing
openldap
entries for orgs that existed prior to the corruption.After the above step is completed,
openldap
will be missing entries for orgs that existed when the corruption occurred. The majority of the actual org data such as proxy bundles is stored in Cassandra or Zookeeper is not lost. However, running the setup-org script will not automatically add the openldap data for the orgs that already exist in Cassandra, and Zookeeper. This data has to be added manually for every org that existed prior to the corruption using the following steps:- Create an ldif file called
missingLDAP.ldif
with the following content:# orgname, organizations, apigee.com dn: o=orgname,ou=organizations,dc=apigee,dc=com objectClass: organization O: orgname # userroles, orgname, organizations, apigee.com dn: ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com ou: userroles objectClass: organizationalUnit # orgadmin, userroles, orgname, organizations, apigee.com dn: cn=orgadmin,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com objectClass: organizationalRole cn: orgadmin roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com # resources, orgadmin, userroles, orgname, organizations, apigee.com dn: ou=resources,cn=orgadmin,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com ou: resources objectClass: organizationalUnit # @@@, resources, orgadmin, userroles, orgname, organizations, apigee.com dn: cn=@@@,ou=resources,cn=orgadmin,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com roleOccupant: ou=delete,ou=permissions,dc=apigee,dc=com roleOccupant: ou=get,ou=permissions,dc=apigee,dc=com roleOccupant: ou=put,ou=permissions,dc=apigee,dc=com labeledURI: / objectClass: organizationalRole objectClass: labeledURIObject cn: @@@
.où orgname est l'organisation que vous essayez de recréer.
- Ajoutez les entités LDAP manquantes à l'aide de la commande suivante :
ldapadd -x -w
-D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f missingLDAP.ldif
Les étapes ci-dessus créent les entrées manquantes d'une organisation existante, ainsi que les autorisations
orgadmin
pour cette organisation. Répétez la procédure pour chaque organisation qui doit être recréée. À ce stade, vous pouvez ajouter des utilisateursorgadmin
à une organisation, mais les autres rôles par défaut n'existent pas encore. Vous devrez les ajouter à l'étape suivante. - Create an ldif file called
Ajoutez les autorisations et rôles par défaut manquants à une organisation existante.
À l'aide du même fichier de configuration que celui utilisé pour configurer l'une des organisations existantes, exécutez la commande suivante:
/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-roles -f configfile
- Ajoutez tous les rôles personnalisés qui existaient avant la corruption à l'aide de l'interface utilisateur ou de l'API de gestion.
- Ajoutez des utilisateurs aux rôles utilisateur appropriés.
(Facultatif) Rétablissement de la configuration de l'authentification externe dans la gestion.
Restaurez
/opt/apigee/customer/application/management-server.properties
si la configuration n'a pas changé. Comme l'UI n'a pas été réinstallée, le/opt/apigee/customer/application/ui.properties
devrait rester le même, car les identifiants de l'administrateur système ont été restaurés avec la nouvelle installation de la gestion.(Facultatif) Réinstallez Apigee mTLS sur le nœud de gestion.
Si Apigee mTLS a déjà été installé, suivez le guide d'installation d'Apigee mTLS pour le réinstaller sur le nœud du serveur de gestion.
Après avoir suivi cette procédure, vous devez effectuer les opérations suivantes manuellement:
Si le problème persiste, contactez l'assistance Apigee pour obtenir de l'aide.