Zadania konserwacji OpenLDAP

Edge for Private Cloud wer. 4.17.05

Lokalizacja pliku dziennika

Pliki dziennika OpenLDAP znajdują się w katalogu /opt/apigee/var/log. Pliki te można okresowo archiwizować i usuwać, aby nie zajmowały zbyt dużo miejsca na dysku. Informacje o obsłudze, archiwizowaniu i usuwaniu dzienników OpenLDAP można znaleźć w sekcji 19.2 podręcznika OpenLDAP na stronie http://www.openldap.org/doc/admin24/maintenance.html.

Ręczne ustawianie hasła użytkownika

Użytkownicy mogą poprosić o nowe hasło do przeglądarki Edge w interfejsie użytkownika Edge. Następnie użytkownik otrzymuje e-maila z informacjami o ustawieniu hasła. Jeśli jednak serwer SMTP jest niedostępny lub użytkownik z jakiegoś powodu nie może odebrać e-maila, możesz ręcznie ustawić hasło użytkownika przy użyciu poleceń OpenLDAP.

Aby ustawić hasło użytkownika:

  1. Użyj narzędzia ldapsearch, aby pobrać informacje o użytkowniku:
    > ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. W pliku ldap.txt wyszukaj adres e-mail użytkownika. Blok powinien mieć taki format:
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
    mail: foo@bar.com
    UWWW3F3XBRX
  3. Użyj polecenia ldappasswd, aby ustawić hasło użytkownika na podstawie jego identyfikatora uid:
    > ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord67"uid=29383a

Użytkownik może teraz logować się przy użyciu funkcji newPassWord.

Ręcznie ustaw hasło systemowe OpenLDAP

W artykule Resetowanie haseł brzegowych opisano, jak zmienić hasło systemowe OpenLDAP, ale wymaga ono znajomości istniejącego hasła. Jeśli nie pamiętasz hasła, możesz je zresetować w podany niżej sposób.

  1. Użyj narzędzia slappasswd, aby utworzyć zaszyfrowane hasło SSHA dla nowego hasła:
    > slappasswd -h {SSHA} -s newPassWord

    To polecenie zwraca ciąg znaków int w postaci:
    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
  2. Otwórz plik /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif w edytorze:
    > vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Znajdź wiersz w formacie:
    olcRootPW:: OldPasswordString
  4. Zastąp OldPasswordString ciągiem zwróconym przez slappasswd. Jeśli po olcRootPw są 2 dwukropki, usuń jeden z nich i upewnij się, że po dwukropku jest spacja:
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Uruchom ponownie OpenLDAP:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Sprawdź za pomocą narzędzia ldapsearch, czy nowe hasło działa.
    > ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Pojawi się prośba o podanie hasła administratora OpenLDAP.
  7. Powtórz te kroki na wszystkich innych serwerach OpenLDAP używanych do replikacji
  8. Zaktualizuj serwer zarządzania, aby używać nowego hasła:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-management-server store_ldap_credentials -p newPassWord

Ręczne ustawianie hasła administratora Edge

Artykuł Resetowanie haseł brzegowych zawiera instrukcje zmiany hasła systemu Edge, ale wymaga znajomości istniejącego hasła. Jeśli nie pamiętasz hasła do systemu Edge, możesz je zresetować w podany niżej sposób.

  1. W węźle interfejsu użytkownika zatrzymaj interfejs Edge:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-ui stop
  2. Użyj ldappasswd, aby ustawić hasło administratora Edge Sys:
    > ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord „uid=admin,ou=users,ou=global,dc=apigee,dc=com”

  3. Zaktualizuj plik konfiguracji użyty do zainstalowania interfejsu Edge przy użyciu nowego hasła do systemu Edge:
    APIGEE_ADMINPW=newPassWord
  4. Skonfiguruj i ponownie uruchom interfejs użytkownika Edge:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Tylko wtedy, gdy protokół TLS jest włączony w interfejsie) Włącz ponownie protokół TLS w interfejsie użytkownika Edge zgodnie z opisem w artykule Konfigurowanie protokołu TLS w interfejsie zarządzania.

Usuń plik blokady SLAPD

Jeśli podczas próby uruchomienia OpenLDAP pojawi się błąd związany z istnieniem pliku blokady slapd.pid, możesz go usunąć.

Znajdziesz go w lokalizacji /opt/apigee/apigee-openldap/var/run/slapd.pid. Usuń plik i spróbuj ponownie uruchomić OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Jeśli OpenLDAP się nie uruchomi, spróbuj uruchomić go w trybie debugowania i sprawdź, czy nie występują błędy:

> slapd -h ldap://:10389/ -u apigee -F /opt/apigee/apigee-openldap/var/run -d 255

Błędy mogą wskazywać na problemy z zasobami, pamięcią lub wykorzystaniem procesora.

Rozwiązywanie problemów z replikacją OpenLDAP

Jeśli Twoja instalacja używa wielu serwerów OpenLDAP, możesz sprawdzić ustawienia replikacji, aby upewnić się, że wszystkie działają prawidłowo.

  1. Sprawdź, czy narzędzie ldapsearch zwraca dane z każdego serwera OpenLDAP:
    > ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Pojawi się prośba o podanie hasła administratora otwartego LDAP.
  2. Sprawdź konfigurację replikacji, sprawdzając plik /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. Upewnij się, że hasło systemowe na każdym serwerze OpenLDAP jest takie samo.
  4. Sprawdź ustawienia plików iptables i tcp.