משימות תחזוקה של OpenLDAP

Edge for Private Cloud גרסה 4.18.05

מיקום הקובץ ביומן

קובצי יומן של OpenLDAP נמצאים בספרייה /opt/apigee/var/log. אפשר להעביר את הקבצים האלה לארכיון מדי פעם ולהסיר אותם, כדי לוודא שהם לא תופסים יותר מדי מקום בכונן. ניתן למצוא מידע על תחזוקה, העברה לארכיון והסרה של יומני OpenLDAP בסעיף 19.2 במדריך OpenLDAP בכתובת http://www.openldap.org/doc/admin24/maintenance.html.

הגדרה ידנית של סיסמת משתמש

המשתמשים יכולים לבקש סיסמה חדשה ל-Edge בממשק המשתמש של Edge. המשתמש יקבל אימייל עם מידע על הגדרת סיסמה. עם זאת, אם שרת ה-SMTP שלך מושבת, או שהמשתמש לא יכול לקבל אימייל מכל סיבה שהיא, אפשר להגדיר את סיסמת המשתמש באופן ידני באמצעות פקודות OpenLDAP.

כדי להגדיר סיסמה של משתמש:

  1. באמצעות ldapsearch אפשר להוריד את פרטי המשתמשים: 
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. מחפשים את כתובת האימייל של המשתמש בקובץ ldap.txt. החסימה אמורה להופיע בצורה הבאה: 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. יש להשתמש ב-ldappasswd כדי להגדיר את הסיסמה של המשתמש על סמך המזהה הייחודי של המשתמש: 
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    תופיע בקשה להזין סיסמת אדמין מסוג OpenLDAP.

עכשיו המשתמש יכול להתחבר באמצעות newPassWord.

הגדרה ידנית של סיסמת המערכת ל-OpenLDAP

במאמר איפוס סיסמאות Edge מוסבר איך לשנות את סיסמת המערכת של OpenLDAP, אבל כדי לעשות זאת צריך לדעת את הסיסמה הקיימת. אם שכחתם את הסיסמה, אפשר לבצע את התהליך הבא כדי לאפס אותה.

  1. אפשר להשתמש ב-slappasswd כדי ליצור את הסיסמה המוצפנת SSHA לסיסמה חדשה: 
    slappasswd -h {SSHA} -s newPassWord

    הפקודה מחזירה מחרוזת בפורמט הבא: 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6

  2. פותחים את הקובץ /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif בעורך: 
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. מאתרים את השורה באופן הבא: 
    olcRootPW:: OldPasswordString
  4. מחליפים את הערך OldPasswordString במחרוזת שמוחזרת מהערך slappasswd. אם יש 2 תווי נקודתיים אחרי olcRootPw, צריך להסיר אחד מהם ולוודא שיש רווח אחרי הנקודתיים: 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. מפעילים מחדש את OpenLDAP: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. יש לבדוק באמצעות ldapsearch אם הסיסמה החדשה פועלת: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    תופיע בקשה להזין סיסמת אדמין מסוג OpenLDAP.

  7. חוזרים על השלבים האלה בכל שרתי OpenLDAP אחרים שמשמשים לשכפול.
  8. צריך לעדכן את שרת הניהול כדי להשתמש בסיסמה החדשה: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

הגדרה ידנית של סיסמת אדמין של Edge

במאמר איפוס סיסמאות ל-Edge מוסבר איך לשנות את סיסמת המערכת של Edge, אבל לשם כך צריך לדעת מהי הסיסמה הקיימת. אם אבדו לכם את סיסמת המערכת של Edge, תוכלו לאפס אותה באמצעות התהליך הבא.

  1. בצומת ממשק המשתמש, מפסיקים את ממשק המשתמש של Edge: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. יש להשתמש ב-ldappasswd כדי להגדיר את סיסמת האדמין ל-sys של Edge: 
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    תופיע בקשה להזין סיסמת אדמין מסוג OpenLDAP.

  3. צריך לעדכן את קובץ התצורה שבו השתמשת כדי להתקין את ממשק המשתמש של Edge עם סיסמת המערכת החדשה של Edge: 
    APIGEE_ADMINPW=newPassWord
  4. מגדירים ומפעילים מחדש את ממשק המשתמש של Edge: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (רק אם TLS מופעל בממשק המשתמש) הפעלה מחדש של TLS בממשק המשתמש של Edge כפי שמתואר בהגדרת TLS לממשק המשתמש לניהול.

מחיקת קובץ נעילה מסוג SLAPD

אם הופיעה הודעת שגיאה כשניסיתם להפעיל את OpenLDAP שלפיה קיים קובץ הנעילה slapd.pid, אפשר למחוק את הקובץ.

הקובץ נמצא בתיקייה /opt/apigee/apigee-openldap/var/run/slapd.pid. מוחקים את הקובץ ומנסים להפעיל מחדש את OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

אם OpenLDAP לא מופעל, אפשר לנסות להפעיל אותו במצב ניפוי באגים ולבדוק אם יש שגיאות:

slapd -h ldap://:10389/ -u apigee -F /opt/apigee/apigee-openldap/var/run -d 255

שגיאות עשויות להצביע על בעיות במשאבים, בזיכרון או בניצול המעבד (CPU).

פתרון בעיות של שכפול OpenLDAP

אם ההתקנה משתמשת בשרתי OpenLDAP מרובים, אפשר לבדוק את הגדרות השכפול כדי לוודא שהשרתים פועלים כראוי.

  1. יש לוודא ש-ldapsearch מחזיר נתונים מכל שרת OpenLDAP: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    תופיע בקשה להזין סיסמת אדמין מסוג OpenLDAP.

  2. בודקים את הגדרות הרפליקה על ידי עיון בקובץ /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. צריך לוודא שהסיסמה של המערכת זהה בכל שרת OpenLDAP.
  4. כדאי לבדוק את ההגדרות של iptables ו-tcp wrapper.