Solução de problemas do OpenLDAP

Você está vendo a documentação do Apigee Edge.
Acesse a documentação da Apigee X. informações

Esta seção fornece informações e orientações sobre como solucionar problemas do OpenLDAP.

O SMTP está desativado, e os usuários precisam redefinir a senha

Sintoma

Quando o SMTP não está configurado na interface do Edge, os novos usuários adicionados ao Edge vão precisar de uma maneira de definir uma senha.

Mensagens de erro

Unknown username and password combination.

Causas possíveis

Os novos usuários não recebem um e-mail do link "Esqueceu sua senha?" para definir uma senha porque o SMTP não está configurado.

Resolução

É possível resolver esse problema de uma das seguintes maneiras:

Solução 1: configurar o servidor SMTP

Configure o servidor SMTP para definir uma nova senha para o usuário seguindo as instruções fornecidas na documentação.

Solução 2: usar LDAP

Se não for possível configurar o servidor SMTP, use os comandos LDAP abaixo para definir a nova senha de um usuário:

1. Um administrador da organização precisa adicionar o usuário específico usando a interface do Edge, conforme mostrado abaixo:

   

2. Use o comando ldapsearch para encontrar o nome distinto do usuário (dn) e redirecionar a saída para um arquivo:

   ldapsearch -w Secret123 -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 > ldap.txt
   

   Aqui está um exemplo de uma entrada dn para um usuário, junto com os atributos para o usuário:

   dn:uid=f7a4a4a5-7c43-4168-a47e-6e9a1417cc29,ou=users,ou=global,dc=apigee,dc=com
   mail: apigee_validator@apigee.com
   userPassword:: e1NTSEF9b0FrMFFXVmFjbWRxM1BVaFZzMnllWGZMdkNvNjMwNTJlUDZYN3c9PQ=
    =
   uid: f7a4a4a5-7c43-4168-a47e-6e9a1417cc29
   objectClass: inetOrgPerson
   sn: Validator
   cn: apigee
   

3. Abra o arquivo ldap.txt e encontre o dn do novo usuário que foi adicionado com base no atributo de e-mail do novo usuário.
4. Execute o comando ldappassword para adicionar uma senha para o novo usuário usando o dn. Neste exemplo, você está definindo a senha do usuário como Apigee123:

   ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s Apigee123
   "uid=f7a4a4a5-7c43-4168-a47e-6e9a1417cc29,ou=users,ou=global,dc=apigee,dc=com"
   

5. Faça login na IU do Edge como o novo usuário com a senha definida na etapa anterior. O usuário pode definir uma nova senha depois de fazer login na interface.

O LDAP não está replicando

Sintoma

Muitas instalações do Edge têm vários data centers, como DC-1 e DC-2. Ao fazer login na interface do Edge no DC-1 como administrador da organização, é possível ver a lista de usuários, mas essa mesma lista não aparece na interface do Edge no DC-2.

Mensagens de erro

Nenhum erro aparece. A interface do Edge simplesmente não mostra a lista de usuários que deveriam ter sido replicados em todos os servidores OpenLDAP.

Causas possíveis

Normalmente, a causa desse problema é uma configuração de replicação do OpenLDAP configurada incorretamente, não a instalação em si. Além disso, a replicação pode falhar se a rede entre os servidores OpenLDAP não permitir o tráfego na porta 10389.

Diagnóstico

Use as etapas a seguir para diagnosticar o problema:

1. Verifique se o ldapsearch retorna dados de cada servidor OpenLDAP:

   ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h <host-ip> -p 10389
   

2. Verifique se é possível se conectar a cada nó OpenLDAP a partir de outros nós OpenLDAP na porta 10389. Se o telnet estiver instalado, use o seguinte comando:

   telnet <OpenLDAP_Peer_IP> 10389
   

3. Se o telnet não estiver disponível, use o netcat para verificar a conectividade da seguinte maneira:
   
   

   nc -vz <OpenLDAP_Peer_IP> 10389
   

4. Verifique a configuração de replicação no seguinte arquivo:

   /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
   

   O arquivo deve conter uma configuração como esta:

   olcSyncRepl: rid=001
     provider=ldap://__OTHER_LDAP_SERVER__/
     binddn="cn=manager,dc=apigee,dc=com"
     bindmethod=simple
     credentials=__LDAP_PASSWORD__
     searchbase="dc=apigee,dc=com"
     attrs="*,+"
     type=refreshAndPersist
     retry="60 1 300 12 7200 +"
     timeout=1
   

5. Confira também o valor do atributo olcMirrorMode no mesmo arquivo. Ele precisa ser definido como o valor TRUE:

   grep olcMirrorMode /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
   

6. Verifique as regras do wrapper iptables e tcp. Remova todas as regras que não permitem a comunicação entre os servidores OpenLDAP de peering. Trabalhe com seu administrador de rede para definir as regras corretamente.
7. Confirme que a senha do sistema OpenLDAP é a mesma em cada nó do OpenLDAP.
8. Verifique se há caracteres ocultos nos arquivos de configuração ldif que estão sendo usados para configurar a replicação OpenLDAP de N-Way executando o dos2unix nos arquivos ldif criados para atualizar a configuração. Normalmente, um arquivo ldif com caracteres inválidos faz com que o comando ldapmodify não seja executado e, portanto, não seja configurado. Remova os caracteres inválidos e salve os arquivos de configuração.

Se o problema persistir, entre em contato com o suporte da Apigee para receber ajuda com a configuração da replicação OpenLDAP de N-Way.

Não foi possível iniciar o OpenLDAP

Sintoma

O OpenLDAP não será iniciado.

Mensagens de erro

SLAPD Dead But Pid File Exists

Causas possíveis

Esse problema geralmente é causado por um arquivo de bloqueio que é deixado para trás no sistema de arquivos e precisa ser removido.

Diagnóstico

Siga estas etapas para diagnosticar esse problema:

1. Verifique se há um bloqueio de processo slapd do OpenLDAP ou um arquivo pid no seguinte local:

   /opt/apigee/var/run/apigee-openldap/apigee-openldap.lock
   /opt/apigee/var/run/apigee-openldap/apigee-openldap.pid
   

2. Exclua o arquivo de bloqueio e pid, se encontrado, e tente reiniciar o openldap.

   rm /opt/apigee/var/run/apigee-openldap/apigee-openldap.lock
   Rm /opt/apigee/var/run/apigee-openldap/apigee-openldap.pid
   

3. Se o processo slapd do OpenLDAP for iniciado, pule as etapas abaixo.
   
4. Se o processo slapd do OpenLDAP não for iniciado, tente executar o slapd no modo de depuração e procure por erros:

   slapd -h ldap://:10389/ -u apigee -F /opt/apigee/data/apigee-openldap/slapd.d -d 255
   

5. Os erros podem indicar problemas no recurso. Verifique a utilização de memória e CPU no sistema.
6. Verifique a versão do OpenLDAP e faça upgrade se ela for antiga. Confira as versões compatíveis do OpenLDAP no documento Software compatível.

   slapd -V
   

7. Use o strace para solucionar problemas de processos slapd e fornecer a saída de strace ao suporte da Apigee:

   strace -tt -T -f -F -i -v -e read=all -s 8192 -e write=all -o /tmp/strace.out -p <pid>
   

---

Corrupção de dados do OpenLDAP

Sintoma

Os usuários não poderão mais realizar chamadas de gerenciamento nem fazer login na interface do Edge. O uso do utilitário ldapsearch para consultar os usuários pode indicar que o usuário existe no repositório de dados LDAP ou identificar possíveis usuários ou funções ausentes.

Mensagens de erro

Unknown username and password combination.

Causas possíveis

Normalmente, esse problema ocorre devido à corrupção de dados do OpenLDAP. Normalmente, os dados do OpenLDAP não são corrompidos. Mas, no caso raro que isso acontece, a corrupção pode ser causada por falha no disco do sistema ou problemas de espaço em disco.

Diagnóstico

1. Verifique o espaço em disco no sistema com o OpenLDAP instalado usando o comando abaixo:

   du -m /opt
   

2. Se o espaço em disco usado estiver muito próximo de 100%, a causa desse problema é o sistema estar sem espaço em disco.

Resolução

Se o sistema estiver sem espaço em disco ou muito perto de ficar sem espaço, adicione mais espaço para garantir que você tenha espaço suficiente.

Quando você tiver espaço em disco suficiente, use uma das soluções abaixo para resolver o problema de corrupção de dados LDAP:

1. Restaure os dados do OpenLDAP do backup.
2. Limpe o banco de dados OpenLDAP.

Solução 1: restaurar os dados LDAP do backup

Em um nó OpenLDAP ativo, faça um backup. O backup deve ser feito regularmente. Consulte o Guia de operações de nuvem privada da Apigee para ver as práticas recomendadas em backups:

slapcat -F /opt/apigee/data/apigee-openldap/slapd.d -l /tmp/ldap-backup.ldif

Estas etapas podem ser usadas para restaurar os dados do OpenLDAP de um backup válido.

1. Pare o nó do OpenLDAP em que os dados precisam ser restaurados:

   /opt/apigee/apigee-service/bin/apigee-service apigee-openldap stop
   

2. Altere o diretório para o diretório de dados OpenLDAP:

   cd /opt/apigee/data/apigee-openldap
   

3. Faça o backup dos dados do OpenLDAP usando o comando de migração:

   mv ldap ldap_orig
   

4. Mude para o usuário da Apigee:

   su apigee
   

5. No diretório /opt/apigee/data/apigee-openldap, crie um novo diretório de dados do OpenLDAP com o nome original:

   mkdir ldap
   

6. Copie o backup do subdiretório ldap_orig/DB_CONFIG da etapa 3 e copie-o para o diretório openldap.

   cp ldap_orig/DB_CONFIG ldap
   

7. Para restaurar dados do backup feito com o slapcat, use o slapadd para importar o ldif, que contém os dados válidos:

   slapadd -F /opt/apigee/data/apigee-openldap/slapd.d -l /tmp/ldap-backup.ldif
   

8. Inicie o processo OpenLDAP:

   /opt/apigee/apigee-service/bin/apigee-service apigee-openldap start
   

Solução 2: limpar o banco de dados LDAP

As etapas a seguir excluem o banco de dados OpenLDAP para permitir um novo começo. Essa solução pode ser usada se não houver backup de dados do último estado em que os dados do OpenLDAP estavam funcionando.

1. Pare o serviço OpenLDAP:

   /opt/apigee/apigee-service/bin/apigee-service apigee-openldap stop
   

2. Altere o diretório para o diretório de dados OpenLDAP:

   cd /opt/apigee/data/apigee-openldap
   

3. Faça o backup dos dados do OpenLDAP usando o comando de migração:

   mv ldap ldap_orig
   

4. Mude para o usuário da Apigee:

   su apigee
   

5. Crie um novo diretório de dados do OpenLDAP com o nome original:

   mkdir ldap
   

6. Use o subdiretório de backup ldap_orig/DB_CONFIG da etapa 3 e copie-o para o diretório openldap:

   cp ldap_orig/DB_CONFIG ldap
   

7. Reinicie o processo do OpenLDAP:

   /opt/apigee/apigee-service/bin/apigee-service apigee-openldap start
   

8. Reinicie o Servidor de gerenciamento para forçar uma atualização das conexões com o OpenLDAP:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
   

Solução 3 Redefinir o OpenLDAP para uma instalação básica

Se a Solução 2 não resolver o problema, redefina o OpenLDAP para uma instalação básica, conforme descrito nesta seção.

Pré-requisitos

Para redefinir o OpenLDAP, você precisa destes pré-requisitos:

• Capacidade de executar a configuração com credenciais de administrador do sistema e LDAP raiz
• Acesso ao utilitário ldapadd.
• O arquivo de configuração silenciosa original salvo para o nó de gerenciamento/LDAP.

Para redefinir o OpenLDAP, siga estas etapas:

1. Reinstale o OpenLDAP e o Servidor de Gerenciamento.
   1. Pare o servidor openldap:

      apigee-service apigee-openldap stop

   2. Exclua a pasta de dados openldap corrompida:

      rm -rf /opt/apigee/data/apigee-openldap

   3. Desinstale o componente openldap:

      apigee-service apigee-openldap uninstall

   4. Reinstale o componente openldap usando o mesmo arquivo de configuração usado na instalação inicial:

      /opt/apigee/apigee-setup/bin/setup.sh -p ld -f configfile

      , em que configfile é o nome do arquivo de configuração.
   5. Reinstale o servidor de gerenciamento usando o arquivo de configuração original:

      /opt/apigee/apigee-setup/bin/setup.sh -p ms -f configfile

   After doing these steps, Management API calls should work again using the sysadmin account only. However, it will not be possible to log into the Edge UI, and Management API calls with any other users will not work.

2. Add missing openldap entries for orgs that existed prior to the corruption.

   After the above step is completed, openldap will be missing entries for orgs that existed when the corruption occurred. The majority of the actual org data such as proxy bundles is stored in Cassandra or Zookeeper is not lost. However, running the setup-org script will not automatically add the openldap data for the orgs that already exist in Cassandra, and Zookeeper. This data has to be added manually for every org that existed prior to the corruption using the following steps:

   1. Create an ldif file called missingLDAP.ldif with the following content:

      # orgname, organizations, apigee.com
      dn: o=orgname,ou=organizations,dc=apigee,dc=com
      objectClass: organization
      O: orgname
      
      # userroles, orgname, organizations, apigee.com
      dn: ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
      ou: userroles
      objectClass: organizationalUnit
      
      # orgadmin, userroles, orgname, organizations, apigee.com
      dn: cn=orgadmin,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
      objectClass: organizationalRole
      cn: orgadmin
      roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
      
      # resources, orgadmin, userroles, orgname, organizations, apigee.com
      dn: ou=resources,cn=orgadmin,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
      ou: resources
      objectClass: organizationalUnit
      
      # @@@, resources, orgadmin, userroles, orgname, organizations, apigee.com
      dn: cn=@@@,ou=resources,cn=orgadmin,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
      roleOccupant: ou=delete,ou=permissions,dc=apigee,dc=com
      roleOccupant: ou=get,ou=permissions,dc=apigee,dc=com
      roleOccupant: ou=put,ou=permissions,dc=apigee,dc=com
      labeledURI: /
      objectClass: organizationalRole
      objectClass: labeledURIObject
      cn: @@@

      em que orgname é a organização que você está tentando recriar.

   2. Adicione as entidades LDAP ausentes usando o seguinte comando:

      ldapadd -x -w  -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f missingLDAP.ldif

   As etapas acima vão criar as entradas ausentes para uma organização atual e as permissões orgadmin dela. Repita as etapas para cada organização que precisa ser recriada. Neste ponto, é possível adicionar usuários orgadmin a uma organização, mas as outras funções padrão ainda não existem. Portanto, você precisa adicioná-las usando a próxima etapa.

3. Adicione permissões e papéis padrão ausentes a uma organização atual.

   Com o mesmo arquivo de configuração usado inicialmente para configurar qualquer uma das organizações atuais, execute o seguinte comando:

   /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-roles -f configfile

Após este procedimento, você precisa fazer o seguinte manualmente:

• Adicione papéis personalizados que existiam antes da corrupção usando a interface ou a API Management.
• Adicione usuários às funções de usuário relevantes.

4. (Opcional) Restabeleça a configuração da autenticação externa no gerenciamento.

   Restaure o /opt/apigee/customer/application/management-server.properties se a configuração não tiver sido mudada. Como a IU não foi reinstalada, o /opt/apigee/customer/application/ui.properties precisa permanecer o mesmo, já que as credenciais do sysadmin foram restauradas com a nova instalação do gerenciamento.

5. (Opcional) Reinstale o mTLS da Apigee no nó de gerenciamento.

   Se o mTLS da Apigee já tiver sido instalado, siga o guia de instalação da Apigee para reinstalá-lo no nó do servidor de gerenciamento.

Se o problema persistir, entre em contato com o suporte da Apigee para receber mais ajuda.