Задачи обслуживания OpenLDAP

Edge для частного облака v. 4.17.01

Местоположение файла журнала

Файлы журналов OpenLDAP содержатся в каталоге /opt/apigee/var/log . Эти файлы можно периодически архивировать и удалять, чтобы они не занимали слишком много места на диске. Информацию о ведении, архивировании и удалении журналов OpenLDAP можно найти в разделе 19.2 руководства OpenLDAP по адресу http://www.openldap.org/doc/admin24/maintenance.html .

Установка пароля пользователя вручную

Пользователи могут запросить новый пароль Edge в пользовательском интерфейсе Edge. Затем пользователь получает электронное письмо с информацией об установке пароля. Однако если ваш SMTP-сервер не работает или пользователь по какой-либо причине не может получить электронное письмо, вы можете вручную установить пароль пользователя с помощью команд OpenLDAP.

Чтобы установить пароль пользователя:

  1. Используйте ldapsearch для загрузки информации о пользователе:
    > ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Найдите в файле ldap.txt адрес электронной почты пользователя. Вы должны увидеть блок вида:
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
    почта: foo@bar.com
    userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
    uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Используйте ldappasswd , чтобы установить пароль пользователя на основе его uid:
    > ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc =apigee,dc=com"

    Вам будет предложено ввести пароль администратора OpenLDAP.

Теперь пользователь может войти в систему с помощью newPassWord .

Установите системный пароль OpenLDAP вручную.

Сброс паролей Edge описывает, как изменить системный пароль OpenLDAP, но требует, чтобы вы знали существующий пароль. Если вы потеряли этот пароль, вы можете использовать следующую процедуру для его сброса.

  1. Используйте slappasswd , чтобы создать зашифрованный SSHA пароль для нового пароля:
    > slappasswd -h {SSHA} -s новыйпароль

    Эта команда возвращает строку в виде:
    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
  2. Откройте файл /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif в редакторе:
    > vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Найдите строку в форме:
    olcRootPW:: Олдпассвордстринг
  4. Замените OldPasswordString строкой, полученной из slappasswd . Если после olcRootPw есть 2 двоеточия, удалите одно и убедитесь, что после двоеточия есть пробел:
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Перезапустите OpenLDAP:
    > /opt/apigee/apigee-service/bin/apigee-service перезапуск apigee-openldap
  6. Проверьте с помощью ldapsearch , работает ли ваш новый пароль.
    > ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Вам будет предложено ввести пароль администратора OpenLDAP.
  7. Повторите эти шаги на любых других серверах OpenLDAP, которые используются для репликации.
  8. Обновите сервер управления, чтобы использовать новый пароль:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-Management-Server store_ldap_credentials -p newPassWord

Установите пароль администратора Edge вручную.

Сброс паролей Edge описывает, как изменить пароль системы Edge, но требует, чтобы вы знали существующий пароль. Если вы потеряли системный пароль Edge, вы можете использовать следующую процедуру для его сброса.

  1. На узле пользовательского интерфейса остановите пользовательский интерфейс Edge:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-UI остановить
  2. Используйте ldappasswd , чтобы установить пароль администратора Edge sys:
    > ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Вам будет предложено ввести пароль администратора OpenLDAP.
  3. Обновите файл конфигурации, который вы использовали для установки пользовательского интерфейса Edge, добавив новый системный пароль Edge:
    APIGEE_ADMINPW= новыйпароль
  4. Настройте и перезапустите пользовательский интерфейс Edge:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f файл конфигурации
  5. (Только если TLS включен в пользовательском интерфейсе) Повторно включите TLS в пользовательском интерфейсе Edge, как описано в разделе Настройка TLS для пользовательского интерфейса управления .

Удалить файл блокировки SLAPD

Если при попытке запуска OpenLDAP вы получите сообщение об ошибке о существовании файла блокировки slapd.pid , вы можете удалить этот файл.

Файл находится в /opt/apigee/apigee-openldap/var/run/slapd.pid . Удалите файл и попробуйте перезапустить OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Если OpenLDAP не запускается, попробуйте запустить его в режиме отладки и проверьте наличие ошибок:

> slapd -h ldap://:10389/ -u apigee -F /opt/apigee/apigee-openldap/var/run -d 255

Ошибки могут указывать на проблемы с ресурсами, памятью или загрузкой ЦП.

Устранение проблем репликации OpenLDAP

Если в вашей установке используется несколько серверов OpenLDAP, вы можете проверить настройки репликации, чтобы убедиться, что эти серверы работают правильно.

  1. Убедитесь, что ldapsearch возвращает данные с каждого сервера OpenLDAP:
    > ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Вам будет предложено ввести пароль администратора OpenLDAP.
  2. Проверьте конфигурацию репликации, изучив файл /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase= {2}bdb.ldif.
  3. Убедитесь, что системный пароль одинаков на каждом сервере OpenLDAP.
  4. Проверьте настройки iptables и TCP-оболочки.