Trang này được dịch bởi Cloud Translation API.

Khắc phục sự cố OpenLDAP

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X. thông tin

Phần này cung cấp thông tin và hướng dẫn khắc phục sự cố OpenLDAP.

SMTP bị tắt và người dùng cần đặt lại mật khẩu

Triệu chứng

Khi SMTP không được thiết lập trên giao diện người dùng Edge, người dùng mới được thêm vào Edge cần có cách để đặt mật khẩu.

Thông báo lỗi

Unknown username and password combination.

Nguyên nhân có thể xảy ra

Người dùng mới không thể nhận email từ đường liên kết "Bạn quên mật khẩu?" để đặt mật khẩu vì bạn chưa thiết lập SMTP.

Độ phân giải

Bạn có thể giải quyết vấn đề này theo một trong những cách sau:

Giải pháp 1: Định cấu hình máy chủ SMTP

Định cấu hình Máy chủ SMTP để đặt mật khẩu mới cho người dùng bằng cách sử dụng hướng dẫn được cung cấp trong tài liệu.

Giải pháp 2: Sử dụng LDAP

Nếu bạn không thể định cấu hình máy chủ SMTP, hãy sử dụng các lệnh LDAP bên dưới để đặt mật khẩu mới cho người dùng:

Quản trị viên tổ chức hiện tại cần thêm người dùng cụ thể thông qua giao diện người dùng Edge như sau:

Sử dụng lệnh ldapsearch để tìm tên nhận dạng (dn) của người dùng và chuyển hướng đầu ra đến một tệp:

ldapsearch -w Secret123 -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 > ldap.txt

Dưới đây là ví dụ về mục nhập dn cho một người dùng, cùng với các thuộc tính cho người dùng đó:

dn:uid=f7a4a4a5-7c43-4168-a47e-6e9a1417cc29,ou=users,ou=global,dc=apigee,dc=com
mail: apigee_validator@apigee.com
userPassword:: e1NTSEF9b0FrMFFXVmFjbWRxM1BVaFZzMnllWGZMdkNvNjMwNTJlUDZYN3c9PQ=
 =
uid: f7a4a4a5-7c43-4168-a47e-6e9a1417cc29
objectClass: inetOrgPerson
sn: Validator
cn: apigee

Mở tệp ldap.txt và tìm dn của người dùng mới đã được thêm dựa trên thuộc tính email của người dùng mới.
Thực thi lệnh ldappassword để thêm mật khẩu cho người dùng mới bằng dn của người dùng đó. Trong ví dụ này, bạn đang đặt mật khẩu của người dùng thành Apigee123:
```
ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s Apigee123
"uid=f7a4a4a5-7c43-4168-a47e-6e9a1417cc29,ou=users,ou=global,dc=apigee,dc=com"
```
Đăng nhập vào giao diện người dùng Edge với tư cách là người dùng mới bằng mật khẩu đã xác định ở bước trước. Người dùng có thể đặt mật khẩu mới sau khi đăng nhập vào giao diện người dùng.

LDAP không sao chép

Triệu chứng

Nhiều lượt cài đặt Edge có nhiều trung tâm dữ liệu, chẳng hạn như DC-1 và DC-2. Khi đăng nhập vào giao diện người dùng Edge trong DC-1 với tư cách là quản trị viên tổ chức, bạn có thể xem danh sách người dùng, nhưng danh sách người dùng tương tự không xuất hiện trong giao diện người dùng Edge trong DC-2.

Thông báo lỗi

Không có lỗi nào xuất hiện, giao diện người dùng Edge chỉ không hiển thị danh sách người dùng lẽ ra phải được sao chép trên tất cả các máy chủ OpenLDAP.

Nguyên nhân có thể xảy ra

Thông thường, nguyên nhân gây ra vấn đề này là do cấu hình sao chép OpenLDAP được định cấu hình không chính xác, chứ không phải bản thân quá trình cài đặt. Ngoài ra, quá trình sao chép có thể bị gián đoạn nếu mạng giữa các máy chủ OpenLDAP không cho phép lưu lượng truy cập trên cổng 10389.

Chẩn đoán

Hãy làm theo các bước sau để chẩn đoán vấn đề:

Kiểm tra xem ldapsearch có trả về dữ liệu từ mỗi máy chủ OpenLDAP hay không:

ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h <host-ip> -p 10389

Kiểm tra xem bạn có thể kết nối với từng nút OpenLDAP từ các nút OpenLDAP khác trên cổng 10389 hay không. Nếu bạn đã cài đặt telnet, hãy sử dụng lệnh sau:
```
telnet <OpenLDAP_Peer_IP> 10389
```
Nếu không có telnet, hãy sử dụng netcat để kiểm tra khả năng kết nối như sau:
```
nc -vz <OpenLDAP_Peer_IP> 10389
```

Kiểm tra cấu hình sao chép trong tệp sau:

/opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif

Tệp này phải chứa cấu hình như sau:

olcSyncRepl: rid=001
  provider=ldap://__OTHER_LDAP_SERVER__/
  binddn="cn=manager,dc=apigee,dc=com"
  bindmethod=simple
  credentials=__LDAP_PASSWORD__
  searchbase="dc=apigee,dc=com"
  attrs="*,+"
  type=refreshAndPersist
  retry="60 1 300 12 7200 +"
  timeout=1

Ngoài ra, hãy kiểm tra cùng một tệp để biết giá trị của thuộc tính olcMirrorMode. Bạn phải đặt thuộc tính này thành giá trị TRUE:
```
grep olcMirrorMode /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
```
Kiểm tra các quy tắc iptables và trình bao bọc tcp. Vui lòng xoá mọi quy tắc không cho phép các máy chủ OpenLDAP ngang hàng giao tiếp với nhau. Hãy làm việc với quản trị viên mạng của bạn để đặt các quy tắc cho phù hợp.
Đảm bảo mật khẩu hệ thống OpenLDAP giống nhau trên mỗi nút OpenLDAP.
Kiểm tra các ký tự ẩn trong tệp cấu hình ldif đang được dùng để định cấu hình tính năng sao chép OpenLDAP N-Way bằng cách chạy dos2unix so với các tệp ldif đã được tạo để cập nhật cấu hình. Thông thường, tệp ldif có các ký tự không hợp lệ sẽ khiến lệnh ldapmodify không chạy được, do đó, bạn có thể không thiết lập được tính năng sao chép. Xoá mọi ký tự xấu và lưu tệp cấu hình.

Nếu vấn đề vẫn tiếp diễn, hãy liên hệ với Nhóm hỗ trợ Apigee để được trợ giúp về cách thiết lập tính năng sao chép OpenLDAP N-Way.

Không thể khởi động OpenLDAP

Triệu chứng

OpenLDAP không khởi động.

Thông báo lỗi

SLAPD Dead But Pid File Exists

Nguyên nhân có thể xảy ra

Vấn đề này thường là do tệp khoá bị bỏ lại trên hệ thống tệp và cần được xoá.

Chẩn đoán

Hãy làm theo các bước sau để chẩn đoán vấn đề này:

Kiểm tra tệp pid hoặc khoá quy trình slapd OpenLDAP ở vị trí sau:

/opt/apigee/var/run/apigee-openldap/apigee-openldap.lock
/opt/apigee/var/run/apigee-openldap/apigee-openldap.pid

Xoá tệp khoá và pid (nếu có) rồi thử khởi động lại openldap.

rm /opt/apigee/var/run/apigee-openldap/apigee-openldap.lock
Rm /opt/apigee/var/run/apigee-openldap/apigee-openldap.pid

Nếu quá trình slapd OpenLDAP bắt đầu, hãy bỏ qua các bước bên dưới.
Nếu quy trình slapd OpenLDAP không khởi động, hãy thử chạy slapd ở chế độ gỡ lỗi và tìm lỗi:
```
slapd -h ldap://:10389/ -u apigee -F /opt/apigee/data/apigee-openldap/slapd.d -d 255
```
Lỗi có thể chỉ ra các vấn đề về tài nguyên. Kiểm tra mức sử dụng bộ nhớ và CPU trên hệ thống.
Kiểm tra phiên bản OpenLDAP và nâng cấp nếu phiên bản này đã cũ. Kiểm tra các phiên bản OpenLDAP được hỗ trợ trong tài liệu Phần mềm được hỗ trợ của chúng tôi.
```
slapd -V
```
Sử dụng strace để khắc phục sự cố quy trình slapd và cung cấp đầu ra strace cho Nhóm hỗ trợ Apigee:
```
strace -tt -T -f -F -i -v -e read=all -s 8192 -e write=all -o /tmp/strace.out -p <pid>
```

Lỗi hỏng dữ liệu OpenLDAP

Triệu chứng

Người dùng không thể chạy lệnh gọi quản lý hoặc đăng nhập vào giao diện người dùng Edge nữa. Việc sử dụng tiện ích ldapsearch để truy vấn người dùng có thể cho biết người dùng đó tồn tại trong kho dữ liệu LDAP hoặc có thể xác định người dùng hoặc vai trò bị thiếu.

Thông báo lỗi

Unknown username and password combination.

Nguyên nhân có thể xảy ra

Thông thường, vấn đề này có thể xảy ra do dữ liệu OpenLDAP bị hỏng. Thông thường, dữ liệu OpenLDAP không bị hỏng. Tuy nhiên, trong một số ít trường hợp, tệp có thể bị hỏng do lỗi ổ đĩa hệ thống hoặc vấn đề về dung lượng ổ đĩa.

Chẩn đoán

Kiểm tra dung lượng ổ đĩa trên hệ thống đã cài đặt OpenLDAP bằng lệnh dưới đây:
```
du -m /opt
```
Nếu bạn thấy dung lượng ổ đĩa đã sử dụng gần bằng 100%, thì điều đó cho biết nguyên nhân gây ra vấn đề này là hệ thống của bạn sắp hết dung lượng ổ đĩa.

Độ phân giải

Nếu hệ thống của bạn đã hết dung lượng ổ đĩa hoặc sắp hết dung lượng ổ đĩa, hãy thêm dung lượng ổ đĩa để đảm bảo có đủ dung lượng.

Sau khi bạn có đủ dung lượng ổ đĩa, hãy sử dụng một trong các giải pháp sau để giải quyết vấn đề hỏng dữ liệu LDAP:

Khôi phục dữ liệu OpenLDAP từ bản sao lưu.
Hãy dọn dẹp cơ sở dữ liệu OpenLDAP bằng các bước sau:
1. Tắt Máy chủ quản lý 2 và LDAP2.
2. Khôi phục LDAP1 từ bản sao lưu máy ảo (hoặc bản sao lưu Apigee).
3. Kiểm tra Máy chủ quản lý 1 để khởi động và khôi phục.
4. Sau khi Máy chủ quản lý 1 và LDAP1 hoạt động đúng cách, hãy cài đặt lại LDAP2 từ đầu (tạo một bảng hoàn toàn trống).
5. Thiết lập LDAP2 ở chế độ chỉ có thể đọc, cho phép LDAP1 sao chép sang LDAP2.
6. Sử dụng ldapsearch để xác minh rằng số dòng trong LDAP1 và LDAP2 khớp nhau.
7. Khởi động lại Máy chủ quản lý 2 và UI2 rồi xác nhận rằng các máy chủ này đã khởi động thành công.

Để biết hướng dẫn chi tiết, hãy xem Công cụ theo dõi lỗi công khai.

Giải pháp 1: Khôi phục dữ liệu LDAP từ bản sao lưu

Trên nút OpenLDAP đang hoạt động, hãy sao lưu. Bạn nên thường xuyên sao lưu. Hãy xem Hướng dẫn vận hành đám mây riêng của Apigee để biết các phương pháp hay nhất về việc sao lưu:

slapcat -F /opt/apigee/data/apigee-openldap/slapd.d -l /tmp/ldap-backup.ldif

Bạn có thể sử dụng các bước sau để khôi phục dữ liệu OpenLDAP từ một bản sao lưu tốt.

Dừng nút OpenLDAP cần khôi phục dữ liệu:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap stop

Thay đổi thư mục thành thư mục dữ liệu OpenLDAP:
```
cd /opt/apigee/data/apigee-openldap
```
Sao lưu dữ liệu OpenLDAP hiện có bằng lệnh di chuyển:
```
mv ldap ldap_orig
```
Chuyển sang người dùng apigee:
```
su apigee
```
Từ thư mục /opt/apigee/data/apigee-openldap, hãy tạo một thư mục dữ liệu OpenLDAP mới có tên ban đầu:
```
mkdir ldap
```
Sao lưu thư mục con ldap_orig/DB_CONFIG từ bước 3 và sao chép thư mục con đó vào thư mục openldap.
```
cp ldap_orig/DB_CONFIG ldap
```
Để khôi phục dữ liệu từ bản sao lưu được thực hiện bằng slapcat, hãy sử dụng slapadd để nhập ldif chứa dữ liệu tốt:
```
slapadd -F /opt/apigee/data/apigee-openldap/slapd.d -l /tmp/ldap-backup.ldif
```

Bắt đầu quy trình OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap start

Giải pháp #2: Dọn dẹp cơ sở dữ liệu LDAP

Các bước sau sẽ xoá cơ sở dữ liệu OpenLDAP để bắt đầu lại. Bạn có thể sử dụng giải pháp này nếu không có bản sao lưu dữ liệu của trạng thái gần đây nhất mà dữ liệu OpenLDAP đang hoạt động.

Dừng dịch vụ OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap stop

Thay đổi thư mục thành thư mục dữ liệu OpenLDAP:
```
cd /opt/apigee/data/apigee-openldap
```
Sao lưu dữ liệu OpenLDAP hiện có bằng lệnh di chuyển:
```
mv ldap ldap_orig
```
Chuyển sang người dùng apigee:
```
su apigee
```
Tạo một thư mục dữ liệu OpenLDAP mới có tên ban đầu:
```
mkdir ldap
```
Lấy thư mục con ldap_orig/DB_CONFIG sao lưu từ bước 3 và sao chép thư mục đó vào thư mục openldap:
```
cp ldap_orig/DB_CONFIG ldap
```

Khởi động lại quy trình OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap start

Khởi động lại Máy chủ quản lý để buộc làm mới các kết nối với OpenLDAP:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
```

Giải pháp #3 Đặt lại OpenLDAP về chế độ cài đặt cơ bản

Nếu Giải pháp 2 không giải quyết được vấn đề, bạn có thể đặt lại OpenLDAP về chế độ cài đặt cơ bản, như mô tả trong phần này.

Điều kiện tiên quyết

Để đặt lại OpenLDAP, bạn cần có các điều kiện tiên quyết sau:

Có thể chạy quy trình thiết lập bằng thông tin đăng nhập của quản trị viên hệ thống và thông tin đăng nhập gốc LDAP.
Quyền truy cập vào tiện ích ldapadd.
Tệp cấu hình gốc được lưu ở chế độ im lặng cho nút quản lý/LDAP.

Lưu ý: Trước khi đặt lại OpenLDAP, hãy nhớ sao lưu các tệp cấu hình /opt/apigee/customer/application.

Để đặt lại OpenLDAP, hãy làm theo các bước sau:

Cài đặt lại OpenLDAP và Máy chủ quản lý.
1. Dừng máy chủ openldap:
```
apigee-service apigee-openldap stop
```
2. Xoá thư mục dữ liệu openldap bị hỏng:
```
rm -rf /opt/apigee/data/apigee-openldap
```
3. Gỡ cài đặt thành phần openldap:
```
apigee-service apigee-openldap uninstall
```
4. Cài đặt lại thành phần openldap bằng chính tệp cấu hình đã dùng cho lần cài đặt ban đầu:
```
/opt/apigee/apigee-setup/bin/setup.sh -p ld -f configfile
```
  trong đó configfile là tên của tệp cấu hình.
5. Cài đặt lại Máy chủ quản lý bằng tệp cấu hình ban đầu:
```
/opt/apigee/apigee-setup/bin/setup.sh -p ms -f configfile
```
After doing these steps, Management API calls should work again using the sysadmin account only. However, it will not be possible to log into the Edge UI, and Management API calls with any other users will not work.
Add missing openldap entries for orgs that existed prior to the corruption.
After the above step is completed, openldap will be missing entries for orgs that existed when the corruption occurred. The majority of the actual org data such as proxy bundles is stored in Cassandra or Zookeeper is not lost. However, running the setup-org script will not automatically add the openldap data for the orgs that already exist in Cassandra, and Zookeeper. This data has to be added manually for every org that existed prior to the corruption using the following steps:
1. Create an ldif file called missingLDAP.ldif with the following content:
```
# orgname, organizations, apigee.com
dn: o=orgname,ou=organizations,dc=apigee,dc=com
objectClass: organization
O: orgname

# userroles, orgname, organizations, apigee.com
dn: ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
ou: userroles
objectClass: organizationalUnit

# orgadmin, userroles, orgname, organizations, apigee.com
dn: cn=orgadmin,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
objectClass: organizationalRole
cn: orgadmin
roleOccupant: uid=admin,ou=users,ou=global,dc=apigee,dc=com

# resources, orgadmin, userroles, orgname, organizations, apigee.com
dn: ou=resources,cn=orgadmin,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
ou: resources
objectClass: organizationalUnit

# @@@, resources, orgadmin, userroles, orgname, organizations, apigee.com
dn: cn=@@@,ou=resources,cn=orgadmin,ou=userroles,o=orgname,ou=organizations,dc=apigee,dc=com
roleOccupant: ou=delete,ou=permissions,dc=apigee,dc=com
roleOccupant: ou=get,ou=permissions,dc=apigee,dc=com
roleOccupant: ou=put,ou=permissions,dc=apigee,dc=com
labeledURI: /
objectClass: organizationalRole
objectClass: labeledURIObject
cn: @@@
```
  trong đó orgname là tổ chức mà bạn đang cố gắng tạo lại.
2. Thêm các thực thể LDAP bị thiếu bằng lệnh sau:
```
ldapadd -x -w  -D "cn=manager,dc=apigee,dc=com" -H ldap://localhost:10389 -f missingLDAP.ldif
```
Các bước trên sẽ tạo các mục còn thiếu cho một tổ chức hiện có và quyền orgadmin cho tổ chức đó. Lặp lại các bước cho từng tổ chức cần tạo lại. Tại thời điểm này, bạn có thể thêm người dùng orgadmin vào một tổ chức, nhưng các vai trò mặc định khác chưa tồn tại, vì vậy, bạn cần thêm các vai trò đó bằng cách thực hiện bước tiếp theo.
Thêm các vai trò và quyền mặc định bị thiếu vào một tổ chức hiện có.

Sử dụng cùng một tệp cấu hình ban đầu được dùng để thiết lập bất kỳ tổ chức nào hiện có, hãy chạy lệnh sau:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-provision create-roles -f configfile
```

Sau khi làm theo quy trình này, bạn cần:

Thêm mọi vai trò tuỳ chỉnh đã tồn tại trước khi hỏng bằng giao diện người dùng hoặc API quản lý,
Thêm mọi người dùng vào các vai trò người dùng có liên quan.

(Không bắt buộc) Thiết lập lại Cấu hình xác thực được xuất hiện trên trang Quản lý.

Khôi phục /opt/apigee/customer/application/management-server.properties nếu cấu hình không thay đổi. Vì giao diện người dùng chưa được cài đặt lại, nên /opt/apigee/customer/application/ui.properties sẽ giữ nguyên do thông tin xác thực của quản trị viên hệ thống đã được khôi phục bằng cách cài đặt mới của công cụ quản lý.
(Không bắt buộc) Cài đặt lại Apigee mTLS trên nút Quản lý.

Nếu bạn đã cài đặt Apigee mTLS trước đó, hãy làm theo Hướng dẫn cài đặt Apigee mTLS để cài đặt lại trên nút máy chủ quản lý.

Nếu vấn đề vẫn tiếp diễn, hãy liên hệ với Nhóm hỗ trợ Apigee để được hỗ trợ thêm.