Attività di manutenzione di OpenLDAP

Edge per Private Cloud v4.18.01

Posizione file di log

I file di log di OpenLDAP sono contenuti nella directory /opt/apigee/var/log. Questi file possono essere archiviati e rimossi periodicamente per assicurarsi che non occupino troppo spazio su disco. Informazioni sulla manutenzione, sull'archiviazione e sulla rimozione dei log di OpenLDAP sono disponibili nella sezione 19.2 del manuale di OpenLDAP all'indirizzo http://www.openldap.org/doc/admin24/maintenance.html.

Impostare manualmente la password di un utente

L'utente può richiedere una nuova password di Edge nell'interfaccia utente di Edge. L'utente riceve un'email con informazioni su come impostare una password. Tuttavia, se il server SMTP non è attivo o l'utente non può ricevere un'email per qualsiasi motivo, puoi impostare manualmente la password dell'utente utilizzando i comandi OpenLDAP.

Per impostare la password di un utente:

  1. Utilizza ldapsearch per scaricare le informazioni utente:
    > ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Cerca l'indirizzo email dell'utente nel file ldap.txt. Dovresti vedere un blocco nel modulo:
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
    mail: foo@bar.com
    userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
    uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Utilizza ldappasswd per impostare la password dell'utente in base al suo uid:
    > ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Ti viene chiesta la password di amministrazione di OpenLDAP.

Ora l'utente può accedere utilizzando newPassWord.

Impostare manualmente la password di sistema OpenLDAP

L'articolo Ripristino delle password di Edge descrive come modificare la password di sistema OpenLDAP, ma richiede che tu conosca la password esistente. Se l'hai perso puoi utilizzare la procedura seguente per reimpostarla.

  1. Utilizza slappasswd per crea la password criptata tramite SSHA per una nuova password:
    > slappasswd -h {SSHA} -s newPassWord

    Questo comando restituisce una stringa nella sua forma:
    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
  2. Apri /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif file in un editor:
    > vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Trova la riga nel modulo:?
    olcRootPW:: OldPasswordString
  4. Sostituisci OldPasswordString con la stringa restituita da slappasswd. Se dopo olcRootPw sono presenti 2 due punti, rimuovine uno e assicurati che dopo il punto ci sia uno spazio:
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Riavvia OpenLDAP:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Controlla utilizzando ldapsearch se la nuova password funziona.
    > ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Ti viene chiesta la password di amministrazione di OpenLDAP.
  7. Ripeti questi passaggi su tutti gli altri server OpenLDAP utilizzati per la replica.
  8. Aggiorna il server di gestione per utilizzare la nuova password:
    > /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Imposta manualmente la password di amministratore perimetrale

Reimpostazione delle password Edge descrive come modificare le Password del sistema perimetrale ma occorre conoscere la password esistente. Se hai perso la password di sistema di Edge, puoi utilizzare la procedura riportata di seguito per reimpostarla.

  1. Sul nodo UI, arresta la UI Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Utilizza ldappasswd per impostare la password dell'amministratore di sistema Edge:
    > ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Ti viene chiesta la password di amministratore OpenLDAP.
  3. Aggiorna il file di configurazione utilizzato per installare la UI Edge con il nuovo sistema Edge password:
    APIGEE_ADMINPW=newPassWord
  4. Configura e riavvia l'interfaccia utente di Edge:
    > /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Solo se TLS è attivato nell'interfaccia utente) Riattiva TLS nell'interfaccia utente di Edge come descritto in Configurazione di TLS per l'interfaccia utente di gestione.

Eliminare il file di blocco SLAPD

Se quando provi ad avviare OpenLDAP ricevi un messaggio di errore che indica che esiste il file di blocco slapd.pid, puoi eliminare il file.

Il file si trova in /opt/apigee/apigee-openldap/var/run/slapd.pid. Elimina il file e prova a riavviare OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Se OpenLDAP non si avvia, prova ad avviarlo in modalità di debug e verifica che non ci siano errori:

> slapd -h ldap://:10389/ -u apigee -F /opt/apigee/apigee-openldap/var/run -d 255

Gli errori possono rimandare a problemi relativi alle risorse, alla memoria o all'utilizzo della CPU.

Risoluzione dei problemi di replica di OpenLDAP

Se l'installazione utilizza più server OpenLDAP, puoi controllare le impostazioni di replica per verificare che i server funzionino correttamente.

  1. Assicurati che ldapsearch restituiscano i dati da ciascun server OpenLDAP:
    > ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Ti viene chiesta la password di amministrazione di OpenLDAP.
  2. Controlla la configurazione della replica esaminando il file /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. Assicurati che la password di sistema sia la stessa su tutti i server OpenLDAP.
  4. Controlla le impostazioni del wrapper iptables e tcp.