Zadania konserwacji OpenLDAP

Edge for Private Cloud w wersji 4.18.05

Lokalizacja pliku dziennika

Pliki dziennika OpenLDAP znajdują się w katalogu /opt/apigee/var/log. Pliki te można okresowo archiwizować i usuwać, aby nie zajmowały zbyt dużo miejsca na dysku. Informacje o obsłudze, archiwizowaniu i usuwaniu dzienników OpenLDAP można znaleźć w sekcji 19.2 podręcznika OpenLDAP na stronie http://www.openldap.org/doc/admin24/maintenance.html.

Ręczne ustawianie hasła użytkownika

Użytkownicy mogą poprosić o nowe hasło do przeglądarki Edge w interfejsie użytkownika Edge. Następnie użytkownik otrzymuje e-maila z informacjami o ustawieniu hasła. Jeśli jednak serwer SMTP jest niedostępny lub użytkownik z jakiegoś powodu nie może odebrać e-maila, możesz ręcznie ustawić hasło użytkownika przy użyciu poleceń OpenLDAP.

Aby ustawić hasło użytkownika:

  1. Użyj narzędzia ldapsearch, aby pobrać informacje o użytkowniku: 
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. W pliku ldap.txt wyszukaj adres e-mail użytkownika. Powinien on mieć postać: 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Użyj polecenia ldappasswd, aby ustawić hasło użytkownika na podstawie jego identyfikatora: 
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

Użytkownik może teraz logować się przy użyciu funkcji newPassWord.

Ręcznie ustaw hasło systemowe OpenLDAP

W artykule Resetowanie haseł Edge opisano, jak zmienić hasło systemowe OpenLDAP, ale wymaga ono znajomości istniejącego hasła. Jeśli nie pamiętasz hasła, możesz je zresetować w podany niżej sposób.

  1. Użyj slappasswd, aby utworzyć zaszyfrowane hasło SSHA dla nowego hasła: 
    slappasswd -h {SSHA} -s newPassWord

    To polecenie zwraca ciąg znaków w formacie: 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6

  2. Otwórz plik /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif w edytorze: 
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Znajdź wiersz w formularzu: 
    olcRootPW:: OldPasswordString
  4. Zastąp OldPasswordString ciągiem zwróconym przez slappasswd. Jeśli po olcRootPw znajdują się 2 dwukropki, usuń jeden z nich, upewniając się, że po dwukropku jest spacja: 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Uruchom ponownie OpenLDAP: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Użyj adresu ldapsearch, aby sprawdzić, czy nowe hasło działa: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

  7. Powtórz te czynności na wszystkich innych serwerach OpenLDAP używanych do replikacji.
  8. Zaktualizuj serwer zarządzania, aby używać nowego hasła: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Ręczne ustawianie hasła administratora Edge

Artykuł Resetowanie haseł brzegowych zawiera instrukcje zmiany hasła systemu Edge, ale wymaga znajomości istniejącego hasła. Jeśli nie pamiętasz hasła do systemu Edge, możesz je zresetować w podany niżej sposób.

  1. W węźle UI zatrzymaj interfejs Edge: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Użyj ldappasswd, aby ustawić hasło administratora Edge sys: 
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

  3. Zaktualizuj plik konfiguracji użyty do zainstalowania interfejsu Edge przy użyciu nowego hasła do systemu Edge: 
    APIGEE_ADMINPW=newPassWord
  4. Skonfiguruj i ponownie uruchom interfejs Edge: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Tylko wtedy, gdy protokół TLS jest włączony w interfejsie) Włącz ponownie protokół TLS w interfejsie użytkownika Edge zgodnie z opisem w artykule Konfigurowanie protokołu TLS w interfejsie zarządzania.

Usuń plik blokady SLAPD

Jeśli podczas próby uruchomienia OpenLDAP pojawi się błąd związany z istnieniem pliku blokady slapd.pid, możesz usunąć ten plik.

Plik znajduje się w folderze /opt/apigee/apigee-openldap/var/run/slapd.pid. Usuń plik i spróbuj ponownie uruchomić OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Jeśli OpenLDAP się nie uruchomi, spróbuj uruchomić go w trybie debugowania i sprawdź, czy nie występują błędy:

slapd -h ldap://:10389/ -u apigee -F /opt/apigee/apigee-openldap/var/run -d 255

Błędy mogą wskazywać na problemy z zasobami, pamięcią lub wykorzystaniem procesora.

Rozwiązywanie problemów z replikacją OpenLDAP

Jeśli Twoja instalacja używa wielu serwerów OpenLDAP, możesz sprawdzić ustawienia replikacji, aby upewnić się, że wszystkie działają prawidłowo.

  1. Sprawdź, czy ldapsearch zwraca dane z każdego serwera OpenLDAP: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

  2. Sprawdź konfigurację replikacji, sprawdzając plik /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. Upewnij się, że hasło systemowe na każdym serwerze OpenLDAP jest takie samo.
  4. Sprawdź ustawienia plików iptables i tcp.