งานบํารุงรักษา OpenLDAP

Edge สำหรับ Private Cloud เวอร์ชัน 4.17.05

ตำแหน่งไฟล์บันทึก

ไฟล์บันทึก OpenLDAP จะอยู่ในไดเรกทอรี /opt/apigee/var/log ระบบอาจเก็บและนำไฟล์เหล่านี้ออกเป็นระยะๆ เพื่อไม่ให้ใช้พื้นที่ในดิสก์มากเกินไป ดูข้อมูลเกี่ยวกับการบำรุงรักษา เก็บถาวร และการนำบันทึก OpenLDAP ออกได้ในส่วน 19.2 ของคู่มือ OpenLDAP ที่ http://www.openldap.org/doc/admin24/maintenance.html

ตั้งรหัสผ่านของผู้ใช้ด้วยตนเอง

ผู้ใช้สามารถขอรหัสผ่าน Edge ใหม่ใน Edge UI ได้ จากนั้น ผู้ใช้จะได้รับอีเมลพร้อมข้อมูลเกี่ยวกับการตั้งค่ารหัสผ่าน แต่หากเซิร์ฟเวอร์ SMTP ใช้งานไม่ได้ หรือผู้ใช้รับอีเมลไม่ได้ไม่ว่าด้วยสาเหตุใดก็ตาม คุณจะตั้งรหัสผ่านของผู้ใช้ด้วยตนเองได้โดยใช้คำสั่ง OpenLDAP

ในการตั้งค่ารหัสผ่านของผู้ใช้ ให้ทำดังนี้

  1. ใช้ ldapsearch เพื่อดาวน์โหลดข้อมูลผู้ใช้ ดังนี้
    > ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. ค้นหาไฟล์ ldap.txt ของผู้ใช้ คุณควรเห็นการบล็อกในรูปแบบต่อไปนี้
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
    mail: foo@bar.com
    userXUFC101
  3. ใช้ ldappasswd เพื่อตั้ง รหัสผ่านของผู้ใช้ตาม uid ของผู้ใช้:
    > ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPass3a6 "uid=29383a6

ตอนนี้ผู้ใช้สามารถลงชื่อเข้าสู่ระบบโดยใช้ newPassWord

ตั้งรหัสผ่านระบบ OpenLDAP ด้วยตนเอง

การรีเซ็ตรหัสผ่าน Edge อธิบายวิธีเปลี่ยนรหัสผ่านระบบ OpenLDAP แต่กำหนดให้คุณต้องทราบรหัสผ่านที่มีอยู่ หากลืมรหัสผ่านดังกล่าว คุณทำตามขั้นตอนต่อไปนี้เพื่อรีเซ็ตรหัสผ่านได้

  1. ใช้ slappasswd เพื่อสร้างรหัสผ่านที่เข้ารหัส SSHA สำหรับรหัสผ่านใหม่ ดังนี้
    > slappasswd -h {SSHA} -s newPassWord

    คำสั่งนี้จะแสดงผลสตริง int he form:
    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS
  2. เปิดไฟล์ /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif ในตัวแก้ไข
    > vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. ค้นหาบรรทัดในรูปแบบต่อไปนี้
    olcRootPW:: OldPasswordString
  4. แทนที่ OldPasswordString ด้วยสตริงที่แสดงผลจาก slappasswd หากมีโคลอน 2 ตัวหลัง olcRootPw ให้นำออก 1 ตัวและ ตรวจสอบว่ามีช่องว่างหลังโคลอน ดังนี้
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. รีสตาร์ท OpenLDAP:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap begin
  6. ตรวจสอบโดยใช้ ldapsearch ว่ารหัสผ่านใหม่ใช้งานได้หรือไม่
    > ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    คุณจะได้รับข้อความแจ้งให้ป้อนรหัสผ่านของผู้ดูแลระบบ OpenLDAP
  7. ทำขั้นตอนเหล่านี้ซ้ำในเซิร์ฟเวอร์ OpenLDAP อื่นๆ ที่ใช้สำหรับการจำลอง
  8. อัปเดตเซิร์ฟเวอร์การจัดการให้ใช้รหัสผ่านใหม่ โดยทำดังนี้
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

ตั้งรหัสผ่านผู้ดูแลระบบ Edge ด้วยตนเอง

การรีเซ็ตรหัสผ่าน Edge อธิบายวิธีเปลี่ยนรหัสผ่านระบบ Edge แต่คุณต้องทราบรหัสผ่านที่มีอยู่ หากรหัสผ่านระบบ Edge สูญหาย คุณรีเซ็ตรหัสผ่านได้โดยทำตามขั้นตอนต่อไปนี้

  1. ในโหนด UI ให้หยุด Edge UI ด้วย
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui off
  2. ใช้ ldappasswd เพื่อตั้งรหัสผ่านของผู้ดูแลระบบ Edge sys ดังนี้
    > ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord "uid=admin,ou=users,ou=global,dc=apigee,dc=com password.

  3. อัปเดตไฟล์การกำหนดค่าที่คุณใช้ติดตั้ง Edge UI ด้วยรหัสผ่านใหม่ของระบบ Edge
    APIGEE_ADMINPW=newPassWord
  4. กำหนดค่าและรีสตาร์ท Edge UI ตามขั้นตอนดังนี้
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (เฉพาะเมื่อเปิดใช้ TLS ใน UI เท่านั้น) เปิดใช้ TLS ใน Edge UI อีกครั้งตามที่อธิบายไว้ในการกำหนดค่า TLS สำหรับ UI การจัดการ

ลบไฟล์ล็อก SLAPD

หากได้รับข้อผิดพลาดเมื่อพยายามเริ่มต้น OpenLDAP ที่มีไฟล์ล็อก slapd.pid อยู่ คุณจะลบไฟล์ได้

ไฟล์ดังกล่าวจะอยู่ที่ /opt/apigee/apigee-openldap/var/run/slapd.pid ลบไฟล์แล้วลองรีสตาร์ท OpenLDAP ดังนี้

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

หาก OpenLDAP ไม่เริ่มทำงาน ให้ลองเริ่มต้นในโหมดแก้ไขข้อบกพร่องและตรวจหาข้อผิดพลาด

> slapd -h ldap://:10389/ -u apigee -F /opt/apigee/apigee-openldap/var/run -d 255

ข้อผิดพลาดอาจเกี่ยวข้องกับปัญหาด้านทรัพยากร หน่วยความจำ หรือปัญหาการใช้งาน CPU

การแก้ปัญหาการจำลอง OpenLDAP

หากการติดตั้งใช้เซิร์ฟเวอร์ OpenLDAP หลายเซิร์ฟเวอร์ ให้ตรวจสอบการตั้งค่าการจำลองเพื่อให้แน่ใจว่าเซิร์ฟเวอร์เหล่านั้นทำงานได้อย่างถูกต้อง

  1. ตรวจสอบว่า ldapsearch แสดงผลข้อมูลจากเซิร์ฟเวอร์ OpenLDAP แต่ละเครื่องดังนี้
    > ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    ระบบจะแจ้งให้ป้อนรหัสผ่านของผู้ดูแลระบบ OpenLDAP
  2. ตรวจสอบการกำหนดค่าการจำลองโดยตรวจสอบไฟล์ /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. ตรวจสอบว่ารหัสผ่านระบบเหมือนกันในเซิร์ฟเวอร์ OpenLDAP
  4. ตรวจสอบการตั้งค่า iptables และ tcp Wrapper