Zadania konserwacji OpenLDAP

Edge for Private Cloud w wersji 4.18.05

Lokalizacja pliku dziennika

Pliki dziennika OpenLDAP znajdują się w katalogu /opt/apigee/var/log. Pliki te można okresowo archiwizować i usuwać, aby nie zajmowały zbyt dużo miejsca na dysku. Informacje o utrzymywaniu, archiwizowaniu i usuwaniu logów OpenLDAP znajdziesz w sekcji 19.2 podręcznika OpenLDAP na stronie http://www.openldap.org/doc/admin24/maintenance.html.

Ręczne ustawianie hasła użytkownika

Użytkownik może poprosić o nowe hasło do Edge w interfejsie Edge. Użytkownik otrzyma e-maila z informacjami o ustawieniu hasła. Jeśli jednak serwer SMTP jest niedostępny lub użytkownik z jakiegoś powodu nie może otrzymać e-maila, możesz ręcznie ustawić jego hasło, używając poleceń OpenLDAP.

Aby ustawić hasło użytkownika:

  1. Aby pobrać informacje o użytkowniku, użyj ldapsearch: 
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Wyszukaj adres e-mail użytkownika w pliku ldap.txt. Powinien pojawić się blok w formie: 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Użyj ldappasswd, aby ustawić hasło użytkownika na podstawie jego identyfikatora uid: 
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

Użytkownik może teraz zalogować się, używając newPassWord.

Ręcznie ustaw hasło systemowe OpenLDAP

Resetowanie haseł Edge zawiera opis sposobu zmiany hasła systemu OpenLDAP, ale wymaga znajomości dotychczasowego hasła. Jeśli nie pamiętasz tego hasła, możesz je zresetować, wykonując poniższe czynności.

  1. Użyj slappasswd, aby utworzyć zaszyfrowane hasło SSHA dla nowego hasła: 
    slappasswd -h {SSHA} -s newPassWord

    To polecenie zwraca ciąg znaków w tym formacie: 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6

  2. Otwórz plik /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif w edytorze: 
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Znajdź wiersz w formularzu: 
    olcRootPW:: OldPasswordString
  4. Zastąp OldPasswordString ciągiem znaków zwróconym przez funkcję slappasswd. Jeśli po olcRootPw są 2 dwukropki, usuń jeden z nich i upewnij się, że po dwukropku jest spację: 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Uruchom ponownie OpenLDAP: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Sprawdź, czy nowe hasło działa, używając ldapsearch: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

  7. Powtórz te czynności na wszystkich serwerach OpenLDAP, które są używane do replikacji.
  8. Zaktualizuj serwer zarządzania, aby używać nowego hasła: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Ręcznie ustaw hasło administratora Edge

Resetowanie haseł Edge zawiera opis sposobu zmiany hasła systemowego Edge, ale wymaga znajomości obecnego hasła. Jeśli nie pamiętasz hasła systemowego Edge, możesz je zresetować, korzystając z poniższej procedury.

  1. Na węźle interfejsu zatrzymaj interfejs Edge: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Użyj ldappasswd, aby ustawić hasło administratora systemu Edge: 
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

  3. Zaktualizuj plik konfiguracyjny użyty do zainstalowania interfejsu Edge przy użyciu nowego hasła systemu Edge: 
    APIGEE_ADMINPW=newPassWord
  4. Skonfiguruj i ponownie uruchom interfejs Edge: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Tylko jeśli TLS jest włączony w interfejsie) ponownie włącz TLS w interfejsie Edge zgodnie z opisem w artykule Konfigurowanie TLS w interfejsie zarządzania.

Usuwanie pliku blokady SLAPD

Jeśli podczas uruchamiania OpenLDAP pojawi się błąd informujący o istnieniu pliku blokady slapd.pid, możesz go usunąć.

Plik znajduje się w folderze /opt/apigee/apigee-openldap/var/run/slapd.pid. Usuń plik i spróbuj ponownie uruchomić OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Jeśli OpenLDAP się nie uruchamia, spróbuj uruchomić go w trybie debugowania i sprawdź, czy nie występują błędy:

slapd -h ldap://:10389/ -u apigee -F /opt/apigee/apigee-openldap/var/run -d 255

Błędy mogą wskazywać na problemy z zasobami, pamięcią lub wykorzystaniem procesora.

Rozwiązywanie problemów z replikacją OpenLDAP

Jeśli Twoja instalacja korzysta z wielu serwerów OpenLDAP, możesz sprawdzić ustawienia replikacji, aby mieć pewność, że serwery działają prawidłowo.

  1. Upewnij się, że funkcja ldapsearch zwraca dane z każdego serwera OpenLDAP: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

  2. Sprawdź konfigurację replikacji, badając plik /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. Upewnij się, że hasło systemowe jest takie samo na każdym serwerze OpenLDAP.
  4. Sprawdź ustawienia iptables oraz tcp wrapper.