משימות תחזוקה של OpenLDAP

Edge for Private Cloud v4.18.05

מיקום קובץ היומן

קובצי יומן מסוג OpenLDAP נמצאים בספרייה /opt/apigee/var/log. אפשר להעביר את הקבצים האלה לארכיון ולהסיר אותם מדי פעם כדי לוודא שהם לא תופסים יותר מדי מקום בדיסק. ניתן למצוא מידע על תחזוקה, העברה לארכיון והסרה של יומני OpenLDAP בסעיף 19.2 של מדריך OpenLDAP בכתובת http://www.openldap.org/doc/admin24/maintenance.html.

הגדרה ידנית של סיסמה של משתמש

המשתמשים יכולים לבקש סיסמה חדשה ל-Edge בממשק המשתמש של Edge. לאחר מכן המשתמש יקבל אימייל עם מידע על הגדרת סיסמה. עם זאת, אם שרת ה-SMTP שלך מושבת, או שהמשתמש לא יכול לקבל אימייל מסיבה כלשהי, ניתן להגדיר את סיסמת המשתמש באופן ידני באמצעות פקודות OpenLDAP.

כדי להגדיר סיסמה למשתמש:

  1. משתמשים ב-ldapsearch כדי להוריד את פרטי המשתמש: 
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. מחפשים את כתובת האימייל של המשתמש בקובץ ldap.txt. אמורה להופיע חסימה בפורמט הבא: 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. משתמשים ב-ldappasswd כדי להגדיר את סיסמת המשתמש על סמך ה-uid של המשתמש: 
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    תתבקשו להזין את סיסמת האדמין של OpenLDAP.

עכשיו המשתמש יכול להתחבר באמצעות newPassWord.

הגדרה ידנית של סיסמת המערכת של OpenLDAP

במאמר איפוס סיסמאות של Edge מוסבר איך לשנות את הסיסמה של מערכת OpenLDAP, אבל צריך לדעת את הסיסמה הקיימת. אם איבדתם את הסיסמה, אפשר לאפס אותה באמצעות התהליך הבא.

  1. משתמשים ב-slappasswd כדי ליצור את הסיסמה המוצפנת מסוג SSHA עבור סיסמה חדשה: 
    slappasswd -h {SSHA} -s newPassWord

    הפקודה הזו מחזירה מחרוזת בפורמט: 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6

  2. פותחים את הקובץ /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif בכלי עריכה: 
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. מאתרים את הקו בטופס: 
    olcRootPW:: OldPasswordString
  4. מחליפים את הערך OldPasswordString במחרוזת שהוחזרה מ-slappasswd. אם יש 2 תווי נקודתיים אחרי olcRootPw, צריך להסיר אחד מהם ולוודא שיש רווח אחרי הנקודתיים: 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. מפעילים מחדש את OpenLDAP: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. אפשר לבדוק באמצעות ldapsearch אם הסיסמה החדשה פועלת: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    תתבקשו להזין את סיסמת האדמין של OpenLDAP.

  7. חוזרים על השלבים האלה בכל שרת OpenLDAP אחר שמשמש ליצירת רפליקות.
  8. מעדכנים את שרת הניהול כך שישתמש בסיסמה החדשה: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

הגדרה ידנית של סיסמת האדמין ב-Edge

במאמר איפוס סיסמאות ב-Edge מוסבר איך לשנות את הסיסמה למערכת Edge, אבל צריך לדעת את הסיסמה הקיימת. אם איבדתם את הסיסמה למערכת של Edge, תוכלו להשתמש בתהליך הבא כדי לאפס אותה.

  1. בצומת של ממשק המשתמש, מפסיקים את ממשק המשתמש של Edge: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. משתמשים ב-ldappasswd כדי להגדיר את סיסמת האדמין של Edge sys: 
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    תוצג בקשה לסיסמה של מנהל המערכת של OpenLDAP.

  3. מעדכנים את קובץ התצורה שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge באמצעות הסיסמה החדשה למערכת של Edge: 
    APIGEE_ADMINPW=newPassWord
  4. מגדירים ומפעילים מחדש את ממשק המשתמש של Edge: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (רק אם TLS מופעל בממשק המשתמש) מפעילים מחדש את TLS בממשק המשתמש של Edge, כפי שמתואר בקטע הגדרת TLS לממשק המשתמש לניהול.

מחיקת קובץ נעילה לפי הסכם SLAPD

אם מופיעה הודעת שגיאה בניסיון להפעיל את OpenLDAP על כך שקובץ הנעילה slapd.pid קיים, אפשר למחוק את הקובץ.

הקובץ נמצא ב-/opt/apigee/apigee-openldap/var/run/slapd.pid. מוחקים את הקובץ ומנסים להפעיל מחדש את OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

אם OpenLDAP לא מופעל, נסו להפעיל אותו במצב ניפוי באגים ולבדוק אם יש שגיאות:

slapd -h ldap://:10389/ -u apigee -F /opt/apigee/apigee-openldap/var/run -d 255

שגיאות עשויות להצביע על בעיות במשאבים, בזיכרון או בשימוש במעבד (CPU).

פתרון בעיות בהעתקה (replication) של OpenLDAP

אם בהתקנה שלכם יש כמה שרתי OpenLDAP, תוכלו לבדוק את הגדרות הרפליקציה כדי לוודא שהשרתים פועלים כמו שצריך.

  1. מוודאים ש-ldapsearch מחזיר נתונים מכל שרת OpenLDAP: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    תתבקשו להזין את סיסמת האדמין של OpenLDAP.

  2. בודקים את הגדרות הרפליקציה בקובץ /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. צריך לוודא שסיסמה של המערכת זהה בכל שרת OpenLDAP.
  4. בודקים את ההגדרות של iptables ו-tcp wrapper.