OpenLDAP Sorunlarını Giderme

Apigee Edge belgelerini görüntülüyorsunuz.
. Git: Apigee X belgeleri. bilgi

Bu bölümde, OpenLDAP sorunlarının giderilmesine ilişkin bilgiler ve yol gösterici bilgiler sunulmaktadır.

SMTP devre dışı bırakıldı ve kullanıcıların sıfırlanması gerekiyor şifre

Belirti

Edge kullanıcı arayüzünde SMTP ayarlanmadığında, Edge'e eklenen yeni kullanıcıların ayar yapmak için bir yönteme ihtiyacı vardır. şifre.

Hata mesajları

Unknown username and password combination.

Olası Nedenler

Yeni kullanıcılar "Şifrenizi mi unuttunuz?" adresinden e-posta alamamaktadır. ayarlama bağlantısı şifre girin.

Çözünürlük

Bu sorunu aşağıdaki yöntemlerden birini kullanarak çözebilirsiniz:

1. Çözüm: SMTP Sunucusunu yapılandırma

SMTP Sunucusu'nu, sağlanan talimatları kullanarak kullanıcı için yeni bir şifre belirleyecek şekilde yapılandırın belgelere bakın.

2. Çözüm: LDAP

SMTP sunucusunu yapılandıramıyorsanız aşağıdaki LDAP komutlarını kullanarak bir kullanıcı için yeni şifre:

1. Mevcut bir kuruluş yöneticisinin, Edge kullanıcı arayüzü üzerinden aşağıda gösterildiği gibi kullanıcıyı eklemesi gerekir:

   

2. Kullanıcının ayırt edici adını bulmak için LDAPsearch komutunu kullanın. (dn) tuşlarına basın ve çıkışı bir dosyaya yönlendirir:

   ldapsearch -w Secret123 -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 > ldap.txt
   

   Bir kullanıcıya yönelik dn girişi örneği, kullanıcıya ait özelliklerle birlikte aşağıda verilmiştir:

   dn:uid=f7a4a4a5-7c43-4168-a47e-6e9a1417cc29,ou=users,ou=global,dc=apigee,dc=com
   mail: apigee_validator@apigee.com
   userPassword:: e1NTSEF9b0FrMFFXVmFjbWRxM1BVaFZzMnllWGZMdkNvNjMwNTJlUDZYN3c9PQ=
    =
   uid: f7a4a4a5-7c43-4168-a47e-6e9a1417cc29
   objectClass: inetOrgPerson
   sn: Validator
   cn: apigee
   

3. ldap.txt dosyasını açın ve eklenen yeni kullanıcının dn'sini bulun. yeni kullanıcının e-posta özelliğine göre.
4. Yeni kullanıcı için şifre eklemek üzere LDAPpassword komutunu yürütün. dn'si kullanılır. Bu örnekte kullanıcının şifresini Apigee123 olarak ayarlıyorsunuz:

   ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s Apigee123
   "uid=f7a4a4a5-7c43-4168-a47e-6e9a1417cc29,ou=users,ou=global,dc=apigee,dc=com"
   

   .
5. Edge kullanıcı arayüzüne, önceki adımda tanımlanan şifreyle yeni kullanıcı olarak giriş yapın. İlgili içeriği oluşturmak için kullanılan kullanıcı arayüzüne giriş yaptıktan sonra yeni bir şifre belirleyebilir.

LDAP Çoğaltılmıyor

Belirti

Edge kurulumlarının çoğunda birden fazla veri merkezi bulunur (ör. DC-1 ve DC-2). Günlüğe giriş yaparken DC-1'deki Edge kullanıcı arayüzünde bir kuruluş yöneticisi olarak kullanıcıların listesini, ancak aynı kullanıcı listesini görüntüleyebilirsiniz DC-2'deki Edge kullanıcı arayüzünde görünmez.

Hata mesajları

Hata görünmüyor, Edge kullanıcı arayüzü yalnızca olması gereken kullanıcıların listesini göstermiyor otomatik olarak çoğaltılır.

Olası Nedenler

Bu sorunun nedeni genellikle yanlış yapılandırılmış bir OpenLDAP replika yapılandırmasıdır. başlar. Ayrıca, OpenLDAP sunucuları arasındaki ağ iletişim kurulduğunda da çoğaltma işlemi bozulabilir 10389 numaralı bağlantı noktasında trafiğe izin vermez.

Teşhis

Sorunu teşhis etmek için aşağıdaki adımları uygulayın:

1. LDAPsearch'ün her OpenLDAP sunucusundan veri döndürüp döndürmediğini kontrol edin:

   ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h <host-ip> -p 10389
   

   .
2. Her bir OpenLDAP düğümüne, 10389 numaralı bağlantı noktasındaki diğer OpenLDAP düğümlerinden bağlanıp bağlanamadığınızı kontrol edin. Telnet yüklüyse aşağıdaki komutu kullanın:

   telnet <OpenLDAP_Peer_IP> 10389
   

   .
3. Telnet kullanılamıyorsa bağlantıyı aşağıdaki şekilde kontrol etmek için netcat'i kullanın:
   
   

   nc -vz <OpenLDAP_Peer_IP> 10389
   

4. Aşağıdaki dosyadaki çoğaltma yapılandırmasını kontrol edin:

   /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
   

   .

   Dosya şuna benzer bir yapılandırma içermelidir:

   olcSyncRepl: rid=001
     provider=ldap://__OTHER_LDAP_SERVER__/
     binddn="cn=manager,dc=apigee,dc=com"
     bindmethod=simple
     credentials=__LDAP_PASSWORD__
     searchbase="dc=apigee,dc=com"
     attrs="*,+"
     type=refreshAndPersist
     retry="60 1 300 12 7200 +"
     timeout=1
   

5. Ayrıca, aynı dosyayı olcMirrorMode özelliğinin değeri için kontrol edin. Değerin şu değere ayarlayın:

   grep olcMirrorMode /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
   

   .
6. iptables ve TCP sarmalayıcı kurallarını kontrol edin. Lütfen izin vermeyen tüm kuralları kaldırın ve eş OpenLDAP sunucularının birbiriyle iletişim kurmasını sağlar. Ağ yöneticinizle birlikte çalışma kuralların uygun şekilde ayarlanmasını gerektirir.
7. OpenLDAP sistem şifresinin her OpenLDAP düğümünde aynı olduğundan emin olun.
8. ldif yapılandırma dosyalarında, kullanılan gizli karakterleri kontrol edin ldif dosyalarında dos2unix'i çalıştırarak yapılandırıldı. Genellikle, hatalı karakterler içeren bir ldif dosyası /}modify komutunun çalışması başarısız olur, bu nedenle çoğaltma ayarlanmamış olabilir. Kötü olanları kaldırın karakterlerinin arasına girin ve yapılandırma dosyalarını kaydedin.

Sorun devam ederse ile iletişime geçin. Apigee Desteği'ne gidin.

OpenLDAP başlatılamıyor

Belirti

OpenLDAP başlatılmıyor.

Hata mesajları

SLAPD Dead But Pid File Exists

Olası Nedenler

Bu sorun genellikle dosya sisteminde kalan bir kilit dosyasından ve kaldırılır.

Teşhis

Bu sorunu teşhis etmek için aşağıdaki adımları uygulayın:

1. Aşağıdaki konumda bir OpenLDAP sonuç işlem kilidi veya pid dosyası olup olmadığını kontrol edin:

   /opt/apigee/var/run/apigee-openldap/apigee-openldap.lock
   /opt/apigee/var/run/apigee-openldap/apigee-openldap.pid
   

   .
2. Bulunduysa kilit ve pid dosyasını silin ve openLDAP'yi yeniden başlatmayı deneyin.

   rm /opt/apigee/var/run/apigee-openldap/apigee-openldap.lock
   Rm /opt/apigee/var/run/apigee-openldap/apigee-openldap.pid
   

3. OpenLDAP ile eşlenen işlem başlarsa aşağıdaki adımları atlayın.
   
4. OpenLDAP slapd işlemi başlamazsa, hata ayıklama modundaslapd'ı çalıştırmayı deneyin ve hata varsa:

   slapd -h ldap://:10389/ -u apigee -F /opt/apigee/data/apigee-openldap/slapd.d -d 255
   

   .
5. Hatalar kaynak sorunlarına işaret edebilir. Sistemdeki belleği ve CPU kullanımını kontrol edin.
6. OpenLDAP'nin sürümünü kontrol edin ve sürüm eskiyse yükseltin. Şu uygulamaların desteklenen sürümlerini kontrol edin: Desteklenen Yazılımlar belgemizdeki OpenLDAP

   slapd -V
   

7. Slapd işleminde sorun gidermek ve Apigee Desteği:

   strace -tt -T -f -F -i -v -e read=all -s 8192 -e write=all -o /tmp/strace.out -p <pid>
   

---

OpenLDAP Veri Bozulması

Belirti

Kullanıcılar artık yönetim çağrıları yapamaz veya Edge kullanıcı arayüzüne giriş yapamaz. LDAPsearch'ü kullanma yardımcı program, kullanıcının LDAP veri deposunda olduğunu belirtebilir veya tespit edebilirsiniz.

Hata mesajları

Unknown username and password combination.

Olası Nedenler

Bu sorun genellikle OpenLDAP verilerinin bozulmasından kaynaklanır. Genellikle OpenLDAP bozulmaz. Ancak nadiren de olsa bozulmanın nedeni, sistem disk hatası veya disk alanı sorunları olabilir.

Teşhis

1. Aşağıdaki komutu kullanarak OpenLDAP'nin yüklendiği sistemdeki disk alanını kontrol edin:

   du -m /opt
   

   .
2. Kullanılan disk alanının %100'e çok yakın olduğunu görürseniz bu durum, diskin sisteminizde disk alanının tükenmesi sorunudur.

Çözünürlük

Sisteminizde disk alanı kalmamışsa veya disk alanı bitmek üzereyse sisteme daha fazla disk alanı ekleyebilirsiniz.

Yeterli disk alanınız olduğunda, LDAP verilerini düzeltmek için aşağıdaki çözümlerden birini kullanın yolsuzluk sorunu:

1. Yedekteki OpenLDAP verilerini geri yükleyin.
2. OpenLDAP veritabanını temizleyin.

1. Çözüm Yedekten alınan LDAP verileri

Çalışan bir OpenLDAP düğümünde yedekleme yapın. Yedekleme düzenli olarak yapılmalıdır. Görüntüleyin Apigee Private Cloud İşlem Rehberi yedeklere ilişkin en iyi uygulamalar için:

slapcat -F /opt/apigee/data/apigee-openldap/slapd.d -l /tmp/ldap-backup.ldif

İyi bir yedekten OpenLDAP verilerini geri yüklemek için aşağıdaki adımlar kullanılabilir.

1. Verilerin geri yüklenmesi gereken OpenLDAP düğümünü durdurun:

   /opt/apigee/apigee-service/bin/apigee-service apigee-openldap stop
   

   .
2. Dizini OpenLDAP veri diziniyle değiştirin:

   cd /opt/apigee/data/apigee-openldap
   

   .
3. Taşıma komutunu kullanarak mevcut OpenLDAP verilerini yedekleyin:

   mv ldap ldap_orig
   

   .
4. Apigee kullanıcısına geçiş yapın:

   su apigee
   

   .
5. /opt/apigee/data/apigee-openldap dizininden yeni bir OpenLDAP verisi oluşturun şu dizini kullanın:

   mkdir ldap
   

6. 3. adımdaki LDAP_orig/DB_CONFIG alt dizininin yedeğini alın ve openLDAP dizinini kullanabilirsiniz.

   cp ldap_orig/DB_CONFIG ldap
   

7. slapcat ile çekilen yedekten verileri geri yüklemek için slapadd kullanarak hangi iyi verileri içerir:

   slapadd -F /opt/apigee/data/apigee-openldap/slapd.d -l /tmp/ldap-backup.ldif
   

   .
8. OpenLDAP işlemini başlatın:

   /opt/apigee/apigee-service/bin/apigee-service apigee-openldap start
   

   .

2. Çözüm LDAP'yi temizleyin veritabanı

Aşağıdaki adımlar, yeni bir başlangıç yapmak için OpenLDAP veritabanını temizleyin. Bu çözüm OpenLDAP verilerinin çalıştığı son durumda veri yedeği yoksa kullanılır.

1. OpenLDAP hizmetini durdurun:

   /opt/apigee/apigee-service/bin/apigee-service apigee-openldap stop
   

   .
2. Dizini OpenLDAP veri diziniyle değiştirin:

   cd /opt/apigee/data/apigee-openldap
   

   .
3. Taşıma komutunu kullanarak mevcut OpenLDAP verilerini yedekleyin:

   mv ldap ldap_orig
   

   .
4. Apigee kullanıcısına geçiş yapın:

   su apigee
   

   .
5. Orijinal adla yeni bir OpenLDAP veri dizini oluşturun:

   mkdir ldap
   

   .
6. 3. adımdaki yedek LDAP_orig/DB_CONFIG alt dizinini alıp openLDAP'ye kopyalayın. dizin:

   cp ldap_orig/DB_CONFIG ldap
   

   .
7. OpenLDAP işlemini yeniden başlatın:

   /opt/apigee/apigee-service/bin/apigee-service apigee-openldap start
   

   .
8. OpenLDAP ile bağlantıların yenilenmesini zorunlu kılmak için Yönetim Sunucusu'nu yeniden başlatın:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
   

   .

3. Çözüm OpenLDAP'yi temel yüklemeye sıfırlayın

2. Çözüm sorunu çözmezse OpenLDAP'yi temel yüklemeye sıfırlayabilirsiniz. öğelerdir.

Ön koşullar

OpenLDAP'yi sıfırlamak için aşağıdaki ön koşullara ihtiyacınız vardır:

• Sistem yöneticisi ve kök LDAP kimlik bilgileriyle kurulumu yürütebilme olanağı.
• ldapadd yardımcı programına erişim.
• Yönetim/LDAP düğümü için kaydedilen orijinal sessiz yapılandırma dosyası.

ziyaret edin.

OpenLDAP'yi sıfırlamak için aşağıdaki adımları uygulayın:

1. OpenLDAP'yi ve Yönetim Sunucusu'nu yeniden yükleyin.
   1. openldap sunucusunu durdurun:

      apigee-service apigee-openldap stop

   2. Bozuk openldap veri klasörünü silin:

      rm -rf /opt/apigee/data/apigee-openldap

   3. openldap bileşenini kaldırın:

      apigee-service apigee-openldap uninstall

   4. Kullanılan yapılandırma dosyasını kullanarak openldap bileşenini yeniden yükleyin için aşağıdaki adımları uygulayın:

      /opt/apigee/apigee-setup/bin/setup.sh -p ld -f configfile

      Burada configfile, yapılandırma dosyasının adıdır.
   5. Orijinal yapılandırma dosyasını kullanarak Yönetim Sunucusu'nu yeniden yükleyin:

      /opt/apigee/apigee-setup/bin/setup.sh -p ms -f configfile

   After doing these steps, Management API calls should work again using the sysadmin account only. However, it will not be possible to log into the Edge UI, and Management API calls with any other users will not work.

2. Add missing openldap entries for orgs that existed prior to the corruption.

   After the above step is completed, openldap will be missing entries for orgs that existed when the corruption occurred. The majority of the actual org data such as proxy bundles is stored in Cassandra or Zookeeper is not lost. However, running the setup-org script will not automatically add the openldap data for the orgs that already exist in Cassandra, and Zookeeper. This data has to be added manually for every org that existed prior to the corruption using the following steps:

   1. Create an ldif file called missingLDAP.ldif with the following content:

      # orgname, organizations, apigee.com
      dn: o=orgname,ou=organizations,dc=apigee,dc=com
      objectClass: organization
      O: orgname
      
      # userroles, orgname, organizations, apigee.com
      dn: ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
      ou: userroles
      objectClass: organizationalUnit
      
      # orgadmin, userroles, orgname, organizations, apigee.com
      dn: cn=orgadmin,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
      objectClass: organizationalRole
      cn: orgadmin
      roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com
      
      # resources, orgadmin, userroles, orgname, organizations, apigee.com
      dn: ou=resources,cn=orgadmin,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
      ou: resources
      objectClass: organizationalUnit
      
      # @@@, resources, orgadmin, userroles, orgname, organizations, apigee.com
      dn: cn=@@@,ou=resources,cn=orgadmin,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
      roleOccupant: ou=delete,ou=permissions,dc=apigee,dc=com
      roleOccupant: ou=get,ou=permissions,dc=apigee,dc=com
      roleOccupant: ou=put,ou=permissions,dc=apigee,dc=com
      labeledURI: /
      objectClass: organizationalRole
      objectClass: labeledURIObject
      cn: @@@

      .

      Burada orgname, yeniden oluşturmaya çalıştığınız kuruluştur.

   2. Aşağıdaki komutu kullanarak eksik LDAP varlıklarını ekleyin:

      ldapadd -x -w  -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f missingLDAP.ldif

      .

   Yukarıdaki adımlar, mevcut bir kuruluş ve orgadmin için eksik girişler oluşturur ilgili kuruluş için geçerli izinler sağlar. Yeniden oluşturulması gereken her kuruluş için bu adımları tekrarlayın. Bu aşamada, bir kuruluşa orgadmin kullanıcı ekleyebilirsiniz, ancak diğer kuruluşa Varsayılan roller henüz mevcut olmadığından sonraki adımı kullanarak bunları eklemeniz gerekir.

3. Eksik varsayılan rol ve izinleri mevcut bir kuruluşa ekleyin.

   Başlangıçta mevcut kuruluşlardan herhangi birini ayarlamak için kullanılan yapılandırma dosyasını kullanarak aşağıdaki komutu çalıştırın:

   /opt/apigee/apigee-service/bin/apigee-service apigee-provision create-roles -f configfile

Bu prosedürü tamamladıktan sonra manuel olarak şunları yapmanız gerekir:

• Kullanıcı arayüzünü veya management API'yi kullanarak bozulmadan önce var olan özel rolleri ekleyin.
• İlgili kullanıcı rollerine tüm kullanıcıları ekleyin.

4. (İsteğe bağlı) Yönetimde Harici Kimlik Doğrulama Yapılandırmasını Yeniden Oluşturun.

   Aşağıdaki durumlarda /opt/apigee/customer/application/management-server.properties öğesini geri yükleyin yapılandırma değişmedi. Kullanıcı arayüzü yeniden yüklenmediğinden /opt/apigee/customer/application/ui.properties sysadmin kimlik bilgileri, yeni yönetim yüklemesi ile geri yüklendi.

5. (İsteğe bağlı) Yönetim düğümüne Apigee mTLS'yi yeniden yükleyin.

   Apigee mTLS daha önce yüklendiyse yeniden yüklemek için Apigee mTLS Yükleme Kılavuzu'ndaki adımları uygulayın bunu yönetim sunucusu düğümünde de yapabilirsiniz.

Sorun devam ederse Apigee ile iletişime geçin Destek.