משימות תחזוקה של OpenLDAP

Edge for Private Cloud גרסה 4.18.01

מיקום קובץ היומן

קובצי יומן של OpenLDAP נמצאים בספרייה /opt/apigee/var/log. אפשר להעביר את הקבצים האלה לארכיון ולהסיר אותם מדי פעם כדי לוודא שהם לא תופסים יותר מדי מקום בדיסק. ניתן למצוא מידע על תחזוקה, העברה לארכיון והסרה של יומני OpenLDAP בקטע 'סעיף' 19.2 של מדריך OpenLDAP בכתובת http://www.openldap.org/doc/admin24/maintenance.html.

הגדרה ידנית של סיסמת משתמש

המשתמשים יכולים לבקש סיסמה חדשה ל-Edge בממשק המשתמש של Edge. לאחר מכן המשתמש יקבל אימייל עם מידע על הגדרת סיסמה. עם זאת, אם שרת ה-SMTP שלך מושבת, או שהמשתמש לא יכול לקבלת אימייל מכל סיבה שהיא. ניתן להגדיר את הסיסמה של המשתמש באופן ידני באמצעות OpenLDAP פקודות.

כדי להגדיר סיסמה של משתמש:

  1. משתמשים ב-ldapsearch כדי להוריד את פרטי המשתמשים:
    > ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. מחפשים את כתובת האימייל של המשתמש בקובץ ldap.txt. אמור להופיע בלוק בפורמט:
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
    mail: foo@bar.com
    userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
    uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. צריך להשתמש ב-ldappasswd כדי להגדיר סיסמת המשתמש על סמך המזהה uid של המשתמש:
    > ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -מע' -שנ' newPassWord "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    תוצג בקשה לסיסמה של מנהל המערכת של OpenLDAP.

עכשיו המשתמש יכול להתחבר באמצעות newPassWord.

הגדרה ידנית של סיסמת המערכת של OpenLDAP

במאמר איפוס סיסמאות של Edge מוסבר איך לשנות את הסיסמה של מערכת OpenLDAP, אבל צריך לדעת את הסיסמה הקיימת. אם איבדתם את אפשר להשתמש בתהליך הבא כדי לאפס אותה.

  1. להשתמש ב-stabpasswd כדי יצירת סיסמה מוצפנת באמצעות SSHA לסיסמה חדשה:
    > slppasswd -h {SSHA} -s newPassWord

    ?פקודה זו מחזירה מחרוזת בפורמט:
    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
  2. פותחים את הקובץ /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif בעורך:
    > vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. מאתרים את השורה בטופס:?
    olcRootPW:: OldPasswordString
  4. מחליפים את OldPasswordString ב- המחרוזת שהוחזרה מ-slappasswd. אם יש 2 תווי נקודתיים אחרי olcRootPw, מסירים אחד ו צריך לוודא שיש רווח אחרי הנקודתיים:
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHhalFBj8ONQfabrhw
  5. הפעלה מחדש של OpenLDAP:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap מחדש
  6. בודקים באמצעות ldapsearch אם הסיסמה החדשה תקינה.
    > ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    תוצג לך בקשה להזין את סיסמת מנהל המערכת של OpenLDAP.
  7. צריך לחזור על השלבים האלה בכל שרתי OpenLDAP אחרים שמשמשים ליצירת רפליקה.
  8. צריך לעדכן את שרת הניהול כדי שישתמש בסיסמה החדשה:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

הגדרה ידנית של סיסמת האדמין ב-Edge

במאמר איפוס סיסמאות ב-Edge מוסבר איך לשנות את הסיסמה למערכת Edge, אבל צריך לדעת את הסיסמה הקיימת. אם איבדתם את הסיסמה למערכת של Edge, תוכלו להשתמש בתהליך הבא כדי לאפס אותה.

  1. בצומת ממשק המשתמש, מפסיקים את ממשק המשתמש של Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. משתמשים ב-ldappasswd כדי להגדיר את סיסמת אדמין ל-Edge:
    > ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    תוצג בקשה לסיסמה של מנהל המערכת של OpenLDAP.
  3. עדכון קובץ התצורה שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge עם מערכת Edge החדשה סיסמה:
    APIGEE_ADMINPW=newPassWord
  4. מגדירים ומפעילים מחדש את ממשק המשתמש של Edge:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (רק אם TLS מופעל בממשק המשתמש) מפעילים מחדש את TLS בממשק המשתמש של Edge, כפי שמתואר בקטע הגדרת TLS לממשק המשתמש לניהול.

מחיקה של קובץ הנעילה של SLAPD

אם מופיעה שגיאה כשמנסים להפעיל את OpenLDAP על כך שקובץ הנעילה slapd.pid קיים, אפשר למחוק את הקובץ.

הקובץ ממוקם כאן: /opt/apigee/apigee-openldap/var/run/slapd.pid. מוחקים את הקובץ ומנסים להפעיל מחדש את OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

אם OpenLDAP לא פועל, מנסים להפעיל אותו במצב ניפוי באגים ולבדוק אם יש שגיאות:

> slapd -h ldap://:10389/ -u apigee -F /opt/apigee/apigee-openldap/var/run -d 255

שגיאות עשויות להצביע על בעיות במשאבים, בזיכרון או בשימוש במעבד (CPU).

פתרון בעיות בהעתקה של OpenLDAP

אם ההתקנה שלך משתמשת בשרתי OpenLDAP, תוכל לבדוק את הגדרות הרפליקציה כדי לוודא שהשרתים פועלים כמו שצריך.

  1. חשוב לוודא ש-ldapsearch מחזירה נתונים מכל שרת OpenLDAP:
    > ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP – p 10389

    תוצג בקשה לסיסמה של מנהל המערכת של OpenLDAP.
  2. בודקים את הגדרות הרפליקציה בקובץ /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. צריך לוודא שסיסמה של המערכת זהה בכל שרת OpenLDAP.
  4. כדאי לבדוק את ההגדרות של מכשירי IPtable ו-tcp wrapper.