Tác vụ bảo trì OpenLDAP

Edge cho đám mây riêng tư phiên bản 4.18.05

Vị trí tệp nhật ký

Các tệp nhật ký Open LDAP nằm trong thư mục /opt/apigee/var/log. Các tệp này có thể được lưu trữ và xoá định kỳ để đảm bảo không chiếm quá nhiều dung lượng ổ đĩa. Bạn có thể xem thông tin về cách duy trì, lưu trữ và xoá nhật ký OpenLDAP trong Phần 19.2 của tài liệu hướng dẫn về OpenLDAP tại http://www.openldap.org/doc/admin24/maintenance.html.

Đặt mật khẩu của người dùng theo cách thủ công

Người dùng có thể yêu cầu mật khẩu Edge mới trong giao diện người dùng Edge. Sau đó, người dùng sẽ nhận được một email chứa thông tin về cách đặt mật khẩu. Tuy nhiên, nếu máy chủ SMTP của bạn bị gián đoạn hoặc người dùng không thể nhận email vì bất kỳ lý do gì, bạn có thể đặt mật khẩu của người dùng theo cách thủ công bằng cách dùng lệnh Open LDAP.

Cách đặt mật khẩu của người dùng:

  1. Sử dụng ldapsearch để tải thông tin người dùng xuống: 
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Tìm kiếm địa chỉ email của người dùng trong tệp ldap.txt. Bạn sẽ thấy một khối trong biểu mẫu: 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Sử dụng ldappasswd để đặt mật khẩu của người dùng dựa trên uid của người dùng: 
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Bạn được nhắc nhập mật khẩu quản trị viên OpenLDAP.

Người dùng hiện có thể đăng nhập bằng newPassWord.

Đặt mật khẩu hệ thống Open LDAP theo cách thủ công

Đặt lại mật khẩu Edge mô tả cách thay đổi mật khẩu hệ thống Open LDAP nhưng yêu cầu bạn phải biết mật khẩu hiện tại. Nếu đã mất mật khẩu đó, bạn có thể sử dụng quy trình sau để đặt lại.

  1. Sử dụng slappasswd để tạo mật khẩu đã mã hoá SSHA cho mật khẩu mới: 
    slappasswd -h {SSHA} -s newPassWord

    Lệnh này trả về một chuỗi có dạng: 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6

  2. Mở tệp /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif trong trình chỉnh sửa: 
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Tìm dòng lệnh trong biểu mẫu: 
    olcRootPW:: OldPasswordString
  4. Thay thế OldPasswordString bằng chuỗi được trả về từ slappasswd. Nếu có 2 dấu hai chấm sau olcRootPw, hãy xoá một dấu hai chấm và đảm bảo có một dấu cách sau dấu hai chấm: 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Khởi động lại OpenLDAP: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Kiểm tra bằng ldapsearch xem mật khẩu mới của bạn có hoạt động hay không: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Bạn được nhắc nhập mật khẩu quản trị viên OpenLDAP.

  7. Lặp lại các bước này trên bất kỳ máy chủ Open LDAP nào khác đang được dùng để sao chép.
  8. Cập nhật Máy chủ quản lý để sử dụng mật khẩu mới: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Đặt mật khẩu quản trị viên Edge theo cách thủ công

Đặt lại mật khẩu Edge mô tả cách thay đổi mật khẩu hệ thống của Edge nhưng yêu cầu bạn phải biết mật khẩu hiện tại. Nếu mất mật khẩu hệ thống của Edge, bạn có thể làm theo quy trình sau để đặt lại.

  1. Trên nút giao diện người dùng, dừng giao diện người dùng Edge: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Dùng ldappasswd để đặt mật khẩu quản trị viên hệ thống của Edge: 
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Bạn được nhắc nhập mật khẩu quản trị viên OpenLDAP.

  3. Cập nhật tệp cấu hình mà bạn đã dùng để cài đặt giao diện người dùng Edge bằng mật khẩu hệ thống Edge mới: 
    APIGEE_ADMINPW=newPassWord
  4. Định cấu hình và khởi động lại giao diện người dùng Edge: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Chỉ khi TLS được bật trên giao diện người dùng) Bật lại TLS trên giao diện người dùng Edge như mô tả trong bài viết Định cấu hình TLS cho giao diện người dùng quản lý.

Xoá tệp khoá SLAPD

Nếu gặp lỗi khi cố gắng khởi động Open LDAP nhưng tệp khoá slapd.pid tồn tại, thì bạn có thể xoá tệp này.

Tệp này nằm trong /opt/apigee/apigee-openldap/var/run/slapd.pid. Xoá tệp và cố khởi động lại OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Nếu OpenLDAP không khởi động, hãy thử khởi động ở chế độ gỡ lỗi và kiểm tra lỗi:

slapd -h ldap://:10389/ -u apigee -F /opt/apigee/apigee-openldap/var/run -d 255

Lỗi có thể là do vấn đề về tài nguyên, bộ nhớ hoặc mức sử dụng CPU.

Khắc phục sự cố sao chép Open LDAP

Nếu quá trình cài đặt sử dụng nhiều máy chủ OpenLDAP, bạn có thể kiểm tra chế độ cài đặt sao chép để đảm bảo máy chủ của các máy chủ đó đang hoạt động đúng cách.

  1. Đảm bảo rằng ldapsearch trả về dữ liệu từ mỗi máy chủ OpenLDAP: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Bạn được nhắc nhập mật khẩu quản trị viên OpenLDAP.

  2. Kiểm tra cấu hình sao chép bằng cách kiểm tra tệp /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. Đảm bảo rằng mật khẩu hệ thống trên mỗi máy chủ OpenLDAP đều giống nhau.
  4. Kiểm tra chế độ cài đặt trình bao bọc iptables và tcp.