משימות תחזוקה של OpenLDAP

Edge for Private Cloud v4.19.01

מיקום קובץ היומן

קובצי יומן מסוג OpenLDAP נמצאים בספרייה /opt/apigee/var/log. אפשר להעביר את הקבצים האלה לארכיון ולהסיר אותם מדי פעם כדי לוודא שהם לא יתפסו יותר מדי מקום בכונן. ניתן למצוא מידע על תחזוקה, העברה לארכיון והסרה של יומני OpenLDAP בסעיף 19.2 של מדריך OpenLDAP בכתובת http://www.openldap.org/doc/admin24/maintenance.html.

הגדרה ידנית של סיסמת משתמש

המשתמשים יכולים לבקש סיסמה חדשה ל-Edge בממשק המשתמש של Edge. לאחר מכן המשתמש יקבל אימייל עם מידע על הגדרת סיסמה. עם זאת, אם שרת ה-SMTP מושבת או שהמשתמש לא יכול לקבל אימייל מסיבה כלשהי, אפשר להגדיר את הסיסמה של המשתמש באופן ידני באמצעות פקודות OpenLDAP.

כדי להגדיר סיסמה של משתמש:

  1. משתמשים ב-ldapsearch כדי להוריד את פרטי המשתמש: 
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. מחפשים את כתובת האימייל של המשתמש בקובץ ldap.txt. אמורה להופיע חסימה בפורמט הבא: 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. משתמשים ב-ldappasswd כדי להגדיר את הסיסמה של המשתמש על סמך ה-uid של המשתמש: 
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    תוצג בקשה לסיסמה של מנהל המערכת של OpenLDAP.

עכשיו המשתמש יכול להתחבר באמצעות newPassWord.

הגדרה ידנית של סיסמת המערכת של OpenLDAP

במאמר איפוס סיסמאות של Edge מוסבר איך לשנות את הסיסמה של מערכת OpenLDAP, אבל צריך לדעת את הסיסמה הקיימת. אם איבדתם את הסיסמה הזו, תוכלו להשתמש בתהליך הבא כדי לאפס אותה.

  1. משתמשים ב-slappasswd כדי ליצור את הסיסמה המוצפנת מסוג SSHA עבור סיסמה חדשה: 
    slappasswd -h {SSHA} -s newPassWord

    הפקודה הזו מחזירה מחרוזת בפורמט: 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6

  2. פותחים את הקובץ /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif בעורך: 
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. מאתרים את הקו בטופס: 
    olcRootPW:: OldPasswordString
  4. מחליפים את OldPasswordString במחרוזת שחוזרת מ-slappasswd. אם יש 2 תווי נקודתיים אחרי olcRootPw, צריך להסיר אחד מהם ולוודא שיש רווח אחרי הנקודתיים: 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. מפעילים מחדש את OpenLDAP: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. אפשר לבדוק באמצעות ldapsearch אם הסיסמה החדשה פועלת: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    תתבקשו להזין את סיסמת האדמין של OpenLDAP.

  7. חוזרים על השלבים האלה בכל שרתי OpenLDAP אחרים שמשמשים ליצירת רפליקה.
  8. מעדכנים את שרת הניהול כך שישתמש בסיסמה החדשה: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

הגדרה ידנית של סיסמת האדמין ב-Edge

במאמר איפוס הסיסמאות של Edge מוסבר איך לשנות את סיסמת המערכת של Edge, אבל צריך לדעת את הסיסמה הקיימת. אם איבדתם את הסיסמה למערכת של Edge, תוכלו להשתמש בתהליך הבא כדי לאפס אותה.

  1. בצומת של ממשק המשתמש, מפסיקים את ממשק המשתמש של Edge: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. משתמשים ב-ldappasswd כדי להגדיר את הסיסמה של האדמין המערכתי ב-Edge: 
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    תוצג בקשה לסיסמה של מנהל המערכת של OpenLDAP.

  3. מעדכנים את קובץ התצורה שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge באמצעות הסיסמה החדשה למערכת של Edge: 
    APIGEE_ADMINPW=newPassWord
  4. מגדירים ומפעילים מחדש את ממשק המשתמש של Edge: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (רק אם TLS מופעל בממשק המשתמש) מפעילים מחדש את TLS בממשק המשתמש של Edge, כפי שמתואר בקטע הגדרת TLS לממשק המשתמש לניהול.

מחיקה של קובץ הנעילה של SLAPD

אם מופיעה הודעת שגיאה בניסיון להפעיל את OpenLDAP על כך שקובץ הנעילה slapd.pid קיים, אפשר למחוק את הקובץ.

הקובץ נמצא ב-/opt/apigee/apigee-openldap/var/run/slapd.pid. מוחקים את הקובץ ומנסים להפעיל מחדש את OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

אם OpenLDAP לא מופעל, נסו להפעיל אותו במצב ניפוי באגים ולבדוק אם יש שגיאות:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

שגיאות עשויות להצביע על בעיות במשאבים, בזיכרון או בשימוש במעבד (CPU).

פתרון בעיות של רפליקציית OpenLDAP

אם ההתקנה משתמשת בשרתי OpenLDAP, תוכל לבדוק את הגדרות הרפליקציה כדי לוודא שהשרתים פועלים כראוי.

  1. מוודאים ש-ldapsearch מחזיר נתונים מכל שרת OpenLDAP: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    תוצג בקשה לסיסמה של מנהל המערכת של OpenLDAP.

  2. בודקים את הגדרות הרפליקציה בקובץ /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. מוודאים שסיסמת המערכת זהה בכל שרת OpenLDAP.
  4. בודקים את ההגדרות של iptables ו-tcp wrapper.