Tareas de mantenimiento de OpenLDAP

Edge para la nube privada v. 4.17.01

Ubicación del archivo de registro

Los archivos de registro de OpenLDAP se encuentran en el directorio /opt/apigee/var/log. Estos archivos se pueden archivar y quitar periódicamente para garantizar que no ocupen demasiado espacio en el disco. Puede encontrar información sobre cómo mantener, archivar y eliminar registros de OpenLDAP en la sección 19.2 del manual de OpenLDAP en http://www.openldap.org/doc/admin24/maintenance.html.

Cómo configurar la contraseña de un usuario de forma manual

El usuario puede solicitar una nueva contraseña de Edge en la IU de Edge. Luego, el usuario recibe un correo electrónico con información sobre cómo configurar una contraseña. Sin embargo, si el servidor SMTP no está disponible o el usuario no puede recibir un correo electrónico por algún motivo, puedes configurar la contraseña del usuario de forma manual con los comandos de OpenLDAP.

Para configurar la contraseña de un usuario, haz lo siguiente:

  1. Usa ldapsearch para descargar información del usuario:
    > ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Busca la dirección de correo electrónico del usuario en el archivo ldap.txt. Deberías ver un bloque en el siguiente formato:
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
    mail: foo@bar.com
    userXPRWRUZ816UU.123zU112121212222CEFEE.Fcomode1212CEF
  3. Usa ldappasswd para configurar la contraseña del usuario según su uid:
    > ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newMycfabfatrap.com, -W -s.dc83pce.comy.pce.comscripta.cfabfa

El usuario ahora puede acceder con newPassWord.

Contraseña del sistema OpenLDAP configurada manualmente

En Cómo restablecer las contraseñas de Edge, se describe cómo cambiar la contraseña del sistema de OpenLDAP, pero es necesario que conozcas la contraseña existente. Si has perdido esa contraseña, puedes utilizar el siguiente procedimiento para restablecerla.

  1. Usa slappasswd a fin de crear la contraseña con encriptación SSHA para una contraseña nueva:
    > slappasswd -h {SSHA} -s newPassWord

    Este comando muestra una string con el siguiente formato:
    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS
  2. Abre el archivo /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif en un editor:
    > vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Busca la línea con el siguiente formato:
    ol="{PW:: OldPasswordString
  4. Reemplaza OldPasswordString por la string que muestra slappasswd. Si aparecen 2 puntos después de olcRootPw, quita uno y asegúrate de que haya un espacio después de los dos puntos:
    ol="{PW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Reinicia OpenLDAP:
    >/opt/apigee/apigee-service/bin/apigee-service apigee-openldap reinicia
  6. Si tu contraseña nueva funciona, verifica con ldapsearch.
    > ldapsearch -W -D “cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Se te solicita la contraseña de administrador de OpenLDAP.
  7. Repite estos pasos en cualquier otro servidor de OpenLDAP que se esté usando para la replicación
  8. Actualiza el servidor de administración para usar la contraseña nueva:
    >/opt/apigee/apigee-service/bin/apigee-service perimetral-management-server store_ldap_credentials -pnewPassWord

Configura la contraseña de administrador de Edge de forma manual

En Restablece las contraseñas de Edge, se describe cómo cambiar la contraseña del sistema perimetral, pero es necesario que conozcas la contraseña existente. Si perdiste la contraseña del sistema Edge, puedes usar el siguiente procedimiento para restablecerla.

  1. En el nodo de IU, detén la IU de Edge:
    >/opt/apigee/apigee-service/bin/apigee-service Edge-ui stop
  2. Usa ldappasswd para establecer la contraseña de administrador del sistema de Edge:
    > ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord “uid=admin,ou=users,ou=global,OpenAP Admin for password,dc=com”

  3. Actualiza el archivo de configuración que usaste para instalar la IU de Edge con la nueva contraseña del sistema de Edge:
    APIGEE_ADMINPW=newPassWord
  4. Configura y reinicia la IU de Edge:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Solo si TLS está habilitado en la IU) Vuelve a habilitar TLS en la IU de Edge como se describe en Configura TLS para la IU de administración.

Borrar archivo de bloqueo del Acuerdo de nivel de servicio (SLAPD)

Si, cuando intentas iniciar OpenLDAP, recibes un mensaje de error que indica que el archivo de bloqueo slapd.pid existe, puedes borrarlo.

El archivo se encuentra en /opt/apigee/apigee-openldap/var/run/slapd.pid. Borra el archivo e intenta reiniciar OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Si el OpenLDAP no se inicia, intenta iniciarlo en modo de depuración y comprueba si hay errores:

> slapd -h ldap://:10389/ -u apigee -F /opt/apigee/apigee-openldap/var/run -d 255

Los errores pueden indicar problemas de recursos, memoria o uso de CPU.

Solución de problemas de replicación de OpenLDAP

Si tu instalación usa varios servidores de OpenLDAP, puedes verificar la configuración de replicación para asegurarte de que los servidores funcionen de forma correcta.

  1. Asegúrate de que ldapsearch muestre datos de cada servidor de OpenLDAP:
    > ldapsearch -W -D “cn=manager,dc=apigee,dc=com" -b “dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Se te solicita la contraseña de administrador de OpenLDAP.
  2. Para verificar la configuración de la replicación, examina el archivo /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. Asegúrate de que la contraseña del sistema sea la misma en todos los servidores OpenLDAP.
  4. Verifica la configuración de iptables y del wrapper de tcp.