OpenLDAP-Wartungsaufgaben

Edge for Private Cloud v4.19.01

Speicherort der Protokolldatei

OpenLDAP-Protokolldateien befinden sich im Verzeichnis /opt/apigee/var/log. Diese Dateien können regelmäßig archiviert und entfernt werden, damit sie nicht zu viel Speicherplatz belegen. Informationen zum Verwalten, Archivieren und Entfernen von OpenLDAP-Logs finden Sie in Abschnitt 19.2 des OpenLDAP-Handbuchs unter http://www.openldap.org/doc/admin24/maintenance.html.

Passwort eines Nutzers manuell festlegen

Nutzer können in der Edge-Benutzeroberfläche ein neues Edge-Passwort anfordern. Der Nutzer erhält dann eine E-Mail mit Informationen zum Festlegen eines Passworts. Wenn Ihr SMTP-Server jedoch ausgefallen ist oder der Nutzer aus irgendeinem Grund keine E-Mails empfangen kann, können Sie das Passwort des Nutzers mit OpenLDAP-Befehlen manuell festlegen.

So legen Sie das Passwort eines Nutzers fest:

  1. Mit ldapsearch können Sie Nutzerinformationen herunterladen:
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Suchen Sie in der Datei „ldap.txt“ nach der E-Mail-Adresse des Nutzers. Sie sollten einen Block in folgendem Format sehen:
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
    mail: foo@bar.com
    userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
    uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Verwenden Sie ldappasswd, um das Passwort des Nutzers basierend auf der Nutzer-UID festzulegen:
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
      "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Sie werden aufgefordert, das OpenLDAP-Administratorpasswort einzugeben.

Der Nutzer kann sich jetzt mit newPassWord anmelden.

OpenLDAP-Systempasswort manuell festgelegt

Im Artikel Edge-Passwörter zurücksetzen wird beschrieben, wie Sie das OpenLDAP-Systempasswort ändern. Dazu müssen Sie jedoch das vorhandene Passwort kennen. Wenn Sie dieses Passwort vergessen haben, können Sie es mit der folgenden Anleitung zurücksetzen.

  1. Verwenden Sie slappasswd, um das SSHA-verschlüsselte Passwort für ein neues Passwort zu erstellen:
    slappasswd -h {SSHA} -s newPassWord

    Dieser Befehl gibt einen String im folgenden Format zurück:

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6

  2. Öffnen Sie die Datei /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif in einem Editor:
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Suchen Sie im Formular nach der Zeile:
    olcRootPW:: OldPasswordString
  4. Ersetzen Sie OldPasswordString durch den von slappasswd zurückgegebenen String. Wenn nach olcRootPw zwei Doppelpunkte stehen, entfernen Sie einen und achten Sie darauf, dass nach dem Doppelpunkt ein Leerzeichen steht:
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Starten Sie OpenLDAP neu:
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Prüfen Sie mit ldapsearch, ob Ihr neues Passwort funktioniert:
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Sie werden aufgefordert, das OpenLDAP-Administratorpasswort einzugeben.

  7. Wiederholen Sie diese Schritte auf allen anderen OpenLDAP-Servern, die für die Replikation verwendet werden.
  8. Aktualisieren Sie den Verwaltungsserver, damit das neue Passwort verwendet wird:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Edge-Administratorpasswort manuell festlegen

Im Hilfeartikel Edge-Passwörter zurücksetzen wird beschrieben, wie Sie das Edge-Systempasswort ändern. Dazu müssen Sie jedoch das vorhandene Passwort kennen. Wenn Sie das Edge-Systempasswort vergessen haben, können Sie es mit der folgenden Anleitung zurücksetzen.

  1. Beenden Sie die Edge-Benutzeroberfläche auf dem UI-Knoten:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Verwenden Sie ldappasswd, um das Edge-Administratorpasswort festzulegen:
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
      "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Sie werden aufgefordert, das OpenLDAP-Administratorpasswort einzugeben.

  3. Aktualisieren Sie die Konfigurationsdatei, mit der Sie die Edge-Benutzeroberfläche installiert haben, mit dem neuen Edge-Systempasswort:
    APIGEE_ADMINPW=newPassWord
  4. Konfigurieren und neu starten Sie die Edge-Benutzeroberfläche:
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Nur, wenn TLS in der Benutzeroberfläche aktiviert ist) Aktivieren Sie TLS in der Edge-Benutzeroberfläche wie unter TLS für die Verwaltungsoberfläche konfigurieren beschrieben.

SLAPD-Sperrbildschirmdatei löschen

Wenn beim Starten von OpenLDAP die Fehlermeldung angezeigt wird, dass die Sperrdatei slapd.pid vorhanden ist, können Sie die Datei löschen.

Die Datei befindet sich in /opt/apigee/apigee-openldap/var/run/slapd.pid. Löschen Sie die Datei und versuchen Sie, OpenLDAP neu zu starten:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Wenn OpenLDAP nicht gestartet wird, starten Sie es im Debug-Modus und prüfen Sie auf Fehler:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

Fehler können auf Ressourcenprobleme, Speicher- oder CPU-Auslastungsprobleme hinweisen.

Fehlerbehebung bei OpenLDAP-Replikationsproblemen

Wenn in Ihrer Installation mehrere OpenLDAP-Server verwendet werden, können Sie die Replikationseinstellungen prüfen, um sicherzustellen, dass die Server ordnungsgemäß funktionieren.

  1. Prüfen Sie, ob ldapsearch Daten von jedem OpenLDAP-Server zurückgibt:
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Sie werden aufgefordert, das OpenLDAP-Administratorpasswort einzugeben.

  2. Prüfen Sie die Replikationskonfiguration anhand der Datei /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. Achten Sie darauf, dass das Systempasswort auf jedem OpenLDAP-Server identisch ist.
  4. Prüfen Sie die Einstellungen für iptables und den TCP-Wrapper.