Tareas de mantenimiento de OpenLDAP

Edge para la nube privada v4.18.01

Ubicación del archivo de registro

Los archivos de registro de OpenLDAP se encuentran en el directorio /opt/apigee/var/log. Estos archivos pueden ser se archivan y se quitan periódicamente para garantizar que no ocupen demasiado disco espacio. Puedes encontrar información para mantener, archivar y quitar registros de OpenLDAP en el artículo 19.2 del manual de OpenLDAP en http://www.openldap.org/doc/admin24/maintenance.html.

Cómo configurar manualmente la contraseña de un usuario

Los usuarios pueden solicitar una nueva contraseña de Edge en la IU de Edge. Luego, el usuario recibe un correo electrónico con información para configurar una contraseña. Sin embargo, si el servidor SMTP no funciona o el usuario no puede recibir un correo electrónico por cualquier motivo, puedes configurar la contraseña del usuario manualmente con OpenLDAP con comandos de SQL sencillos.

Para configurar la contraseña de un usuario, haz lo siguiente:

  1. Usa ldapsearch para hacer lo siguiente: Descargar la información del usuario:
    > Idapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b “dc=apigee,dc=com” -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Busca la dirección de correo electrónico del usuario en el archivo ldap.txt. Deberías ver un bloque en el formulario:
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
    correo: foo@bar.com
    userPassword: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
    uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Usa ldappasswd para establecer la contraseña del usuario según su UID:
    > ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Se te solicitará la contraseña de administrador de OpenLDAP.

Ahora, el usuario puede acceder con newPassWord.

Configurar manualmente la contraseña del sistema OpenLDAP

En Restablece las contraseñas de Edge, se describe cómo cambiar la Contraseña del sistema OpenLDAP, pero requiere que conozcas la contraseña existente. Si perdiste esa contraseña, puedes usar el siguiente procedimiento para restablecerla.

  1. Usa slappasswd para Crea la contraseña encriptada SSHA para una nueva contraseña:
    > slappasswd -h {SSHA} -s newPassWord

    ?Este comando muestra una cadena en el formulario:
    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
  2. Abre el archivo /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif en un editor:
    > vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Busca la línea con el siguiente formato:
    olcRootPW:: OldPasswordString
  4. Reemplaza OldPasswordString por la cadena que se muestra en slappasswd. Si hay 2 dos puntos después olcRootPw, quita uno y asegúrate de que haya un espacio después de los dos puntos:
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Reinicia OpenLDAP:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Verifica con ldapsearch si tu nueva contraseña.
    > ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b “dc=apigee,dc=com” -LLL -h LDAP_IP - p. 10389

    Se te solicitará la contraseña de administrador de OpenLDAP.
  7. Repite estos pasos en cualquier otro servidor OpenLDAP que se use para la replicación.
  8. Actualiza el servidor de administración para usar la contraseña nueva:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Configura manualmente la contraseña de administrador de Edge

En Restablece las contraseñas de Edge, se describe cómo cambiar la Contraseña del sistema perimetral, pero requiere que conozcas la contraseña existente. Si perdiste Edge del sistema, puedes seguir el procedimiento que se indica a continuación para restablecerla.

  1. En el nodo de la IU, detén la IU de Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Usa ldappasswd para establecer la Contraseña del administrador del sistema perimetral:
    > ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Se te solicitará la contraseña de administrador de OpenLDAP.
  3. Actualiza el archivo de configuración que usaste para instalar la IU de Edge con la nueva contraseña del sistema de Edge:
    APIGEE_ADMINPW=newPassWord
  4. Configura y reinicia la IU de Edge:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Solo si TLS está habilitado en la IU) Vuelve a habilitar TLS en la IU de Edge como se describe en Configuración de TLS para la IU de administración.

Borra el archivo de bloqueo de SLAPD

Si, al intentar iniciar OpenLDAP, aparece un error que indica que existe el archivo de bloqueo slapd.pid, puedes borrar el archivo.

El archivo se encuentra en /opt/apigee/apigee-openldap/var/run/slapd.pid. Borra el archivo y prueba reiniciar OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Si el OpenLDAP no se inicia, intenta iniciarlo en el modo de depuración y comprueba si hay errores:

> slapd -h ldap://:10389/ -u apigee -F /opt/apigee/apigee-openldap/var/run -d 255

Los errores pueden apuntar a problemas de recursos, memoria o uso de CPU.

Solución de problemas de replicación de OpenLDAP problemas

Si tu instalación usa varios servidores OpenLDAP, puedes verificar la configuración de replicación para asegurarte de que los servidores funcionen correctamente.

  1. Asegúrate de que ldapsearch devuelve los datos de cada servidor OpenLDAP:
    > ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b “dc=apigee,dc=com” -LLL -h LDAP_IP -p 10389

    Se te solicitará la contraseña de administrador de OpenLDAP.
  2. Para verificar la configuración de la replicación, examina /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif .
  3. Asegúrate de que la contraseña del sistema sea la misma en cada servidor OpenLDAP.
  4. Verifica la configuración de iptables y el wrapper de TCP.