Задачи обслуживания OpenLDAP

Edge для частного облака v4.18.05

Местоположение файла журнала

Файлы журналов OpenLDAP содержатся в каталоге /opt/apigee/var/log . Эти файлы можно периодически архивировать и удалять, чтобы они не занимали слишком много места на диске. Информацию о ведении, архивировании и удалении журналов OpenLDAP можно найти в разделе 19.2 руководства OpenLDAP по адресу http://www.openldap.org/doc/admin24/maintenance.html .

Установка пароля пользователя вручную

Пользователи могут запросить новый пароль Edge в пользовательском интерфейсе Edge. Затем пользователь получает электронное письмо с информацией об установке пароля. Однако если ваш SMTP-сервер не работает или пользователь по какой-либо причине не может получить электронное письмо, вы можете вручную установить пароль пользователя с помощью команд OpenLDAP.

Чтобы установить пароль пользователя:

  1. Используйте ldapsearch для загрузки информации о пользователе:
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Найдите в файле ldap.txt адрес электронной почты пользователя. Вы должны увидеть блок вида:
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
    mail: foo@bar.com
    userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
    uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Используйте ldappasswd чтобы установить пароль пользователя на основе его uid:
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
      "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Вам будет предложено ввести пароль администратора OpenLDAP.

Теперь пользователь может войти в систему с помощью newPassWord .

Установите системный пароль OpenLDAP вручную.

Сброс паролей Edge описывает, как изменить системный пароль OpenLDAP, но требует знания существующего пароля. Если вы потеряли этот пароль, вы можете использовать следующую процедуру для его сброса.

  1. Используйте slappasswd , чтобы создать зашифрованный SSHA пароль для нового пароля:
    slappasswd -h {SSHA} -s newPassWord

    Эта команда возвращает строку в виде:

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
  2. Откройте файл /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif в редакторе:
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Найдите строку в форме:
    olcRootPW:: OldPasswordString
  4. Замените OldPasswordString строкой, полученной из slappasswd . Если после olcRootPw есть 2 двоеточия, удалите одно и убедитесь, что после двоеточия есть пробел:
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Перезапустите OpenLDAP:
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Проверьте с помощью ldapsearch , работает ли ваш новый пароль:
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Вам будет предложено ввести пароль администратора OpenLDAP.

  7. Повторите эти шаги на всех других серверах OpenLDAP, которые используются для репликации.
  8. Обновите сервер управления, чтобы использовать новый пароль:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Установите пароль администратора Edge вручную.

Сброс паролей Edge описывает, как изменить пароль системы Edge, но требует, чтобы вы знали существующий пароль. Если вы потеряли системный пароль Edge, вы можете использовать следующую процедуру для его сброса.

  1. На узле пользовательского интерфейса остановите пользовательский интерфейс Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Используйте ldappasswd чтобы установить пароль администратора Edge sys:
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
      "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Вам будет предложено ввести пароль администратора OpenLDAP.

  3. Обновите файл конфигурации, который вы использовали для установки пользовательского интерфейса Edge, добавив новый системный пароль Edge:
    APIGEE_ADMINPW=newPassWord
  4. Настройте и перезапустите пользовательский интерфейс Edge:
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Только если TLS включен в пользовательском интерфейсе) Повторно включите TLS в пользовательском интерфейсе Edge, как описано в разделе Настройка TLS для пользовательского интерфейса управления .

Удалить файл блокировки SLAPD

Если при попытке запуска OpenLDAP вы получите сообщение об ошибке о существовании файла блокировки slapd.pid , вы можете удалить этот файл.

Файл находится в /opt/apigee/apigee-openldap/var/run/slapd.pid . Удалите файл и попробуйте перезапустить OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Если OpenLDAP не запускается, попробуйте запустить его в режиме отладки и проверьте наличие ошибок:

slapd -h ldap://:10389/ -u apigee -F /opt/apigee/apigee-openldap/var/run -d 255

Ошибки могут указывать на проблемы с ресурсами, памятью или загрузкой ЦП.

Устранение проблем репликации OpenLDAP

Если в вашей установке используется несколько серверов OpenLDAP, вы можете проверить настройки репликации, чтобы убедиться, что эти серверы работают правильно.

  1. Убедитесь, что ldapsearch возвращает данные с каждого сервера OpenLDAP:
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Вам будет предложено ввести пароль администратора OpenLDAP.

  2. Проверьте конфигурацию репликации, изучив файл /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif {2}bdb.ldif.
  3. Убедитесь, что системный пароль одинаков на каждом сервере OpenLDAP.
  4. Проверьте настройки iptables и TCP-оболочки.