משימות תחזוקה של OpenLDAP

Edge for Private Cloud גרסה 4.17.05

מיקום הקובץ ביומן

קובצי יומן של OpenLDAP נמצאים בספרייה /opt/apigee/var/log. אפשר להעביר את הקבצים האלה לארכיון מדי פעם ולהסיר אותם, כדי לוודא שהם לא תופסים יותר מדי מקום בכונן. ניתן למצוא מידע על תחזוקה, העברה לארכיון והסרה של יומני OpenLDAP בסעיף 19.2 במדריך OpenLDAP בכתובת http://www.openldap.org/doc/admin24/maintenance.html.

הגדרה ידנית של סיסמת משתמש

המשתמשים יכולים לבקש סיסמה חדשה ל-Edge בממשק המשתמש של Edge. המשתמש יקבל אימייל עם מידע על הגדרת סיסמה. עם זאת, אם שרת ה-SMTP שלך מושבת, או שהמשתמש לא יכול לקבל אימייל מכל סיבה שהיא, אפשר להגדיר את סיסמת המשתמש באופן ידני באמצעות פקודות OpenLDAP.

כדי להגדיר סיסמה של משתמש:

  1. משתמשים ב-ldapsearch כדי להוריד את פרטי המשתמשים:
    > ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389. > lda
  2. מחפשים את כתובת האימייל של המשתמש בקובץ ldap.txt. בלוק כזה אמור להופיע בצורה:
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
    mail: foo@bar.com
    userPassword:: e01NTSEdSuf9a
  3. משתמשים בפונקציה ldappasswd כדי להגדיר את הסיסמה של המשתמש על סמך ה-uid של המשתמש:
    > ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord, "uiddc-globalapiusers=29newPassWord "

עכשיו המשתמש יכול להתחבר באמצעות newPassWord.

הגדרה ידנית של סיסמת המערכת ל-OpenLDAP

במאמר איפוס סיסמאות Edge מוסבר איך לשנות את סיסמת המערכת של OpenLDAP, אבל נדרש מכם לדעת את הסיסמה הקיימת. אם איבדתם את הסיסמה, אפשר לבצע את התהליך הבא כדי לאפס אותה.

  1. משתמשים ב-slappasswd כדי ליצור סיסמה מוצפנת בפורמט SSHA לסיסמה חדשה:
    > slappasswd -h {SSHA} -s newPassWord

    הפקודה הזו מחזירה מחרוזת בפורמט הבא:
    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurzkIvajwYPArjPur
  2. פותחים את הקובץ /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif בעורך:
    > vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. מאתרים את השורה בטופס:
    olcRootPW:: OldPasswordString
  4. מחליפים את OldPasswordString במחרוזת שהוחזרה מ-slappasswd. אם יש 2 תווי נקודתיים אחרי olcRootPw, מסירים אחד ומוודאים שיש רווח אחרי הנקודתיים:
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. מפעילים מחדש את OpenLDAP:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap הפעלה מחדש
  6. יש לבדוק באמצעות ldapsearch אם הסיסמה החדשה פועלת.
    > ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    תופיע בקשה להזין את סיסמת האדמין של OpenLDAP.
  7. יש לחזור על השלבים האלה בכל שרתי OpenLDAP אחרים שמשמשים לשכפול
  8. צריך לעדכן את שרת הניהול כדי להשתמש בסיסמה החדשה:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

הגדרה ידנית של סיסמת אדמין של Edge

במאמר איפוס סיסמאות של Edge מוסבר איך לשנות את סיסמת המערכת של Edge, אבל לשם כך צריך לדעת מהי הסיסמה הקיימת. אם אבדו לכם את סיסמת המערכת של Edge, תוכלו לאפס אותה באמצעות התהליך הבא.

  1. בצומת ממשק המשתמש, מפסיקים את ממשק המשתמש של Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. משתמשים ב-ldappasswd כדי להגדיר את סיסמת האדמין של Edge sys:
    > ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord "uid=admin,ou=LDAP,ou=global,dc=apige
    מוצגות
  3. מעדכנים את קובץ התצורה שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge עם סיסמת המערכת החדשה של Edge:
    APIGEE_ADMINPW=newPassWord
  4. מגדירים את ממשק המשתמש של Edge ומפעילים אותו מחדש:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (רק אם TLS מופעל בממשק המשתמש) הפעלה מחדש של TLS בממשק המשתמש של Edge כפי שמתואר בהגדרת TLS לממשק המשתמש לניהול.

מחיקת קובץ נעילה מסוג SLAPD

אם הופיעה הודעת שגיאה כשניסיתם להפעיל את OpenLDAP שלפיה קיים קובץ הנעילה slapd.pid, אפשר למחוק את הקובץ.

הקובץ נמצא בנתיב /opt/apigee/apigee-openldap/var/run/slapd.pid. מוחקים את הקובץ ומנסים להפעיל מחדש את OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

אם OpenLDAP לא מופעל, אפשר לנסות להפעיל אותו במצב ניפוי באגים ולבדוק אם יש שגיאות:

> slapd -h ldap://:10389/ -u apigee -F /opt/apigee/apigee-openldap/var/run -d 255

שגיאות עשויות להצביע על בעיות במשאבים, בזיכרון או בניצול המעבד (CPU).

פתרון בעיות של שכפול OpenLDAP

אם ההתקנה משתמשת בשרתי OpenLDAP מרובים, אפשר לבדוק את הגדרות השכפול כדי לוודא שהשרתים פועלים כראוי.

  1. מוודאים ש-ldapsearch מחזיר נתונים מכל שרת OpenLDAP:
    > ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    מוצגת בקשה לפתיחה של סיסמת אדמין.
  2. בודקים את הגדרת השכפול באמצעות הקובץ /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. צריך לוודא שהסיסמה של המערכת זהה בכל שרת OpenLDAP.
  4. כדאי לבדוק את ההגדרות של iptables ו-tcp wrapper.