Attività di manutenzione di OpenLDAP

Edge for Private Cloud v4.19.01

Posizione del file di log

I file di log di OpenLDAP sono contenuti nella directory /opt/apigee/var/log. Questi file possono essere archiviati e rimossi periodicamente per assicurarsi che non occupino troppo spazio su disco. Informazioni sulla manutenzione, sull'archiviazione e sulla rimozione dei log di OpenLDAP sono disponibili nella sezione 19.2 del manuale di OpenLDAP all'indirizzo http://www.openldap.org/doc/admin24/maintenance.html.

Impostare manualmente la password di un utente

L'utente può richiedere una nuova password di Edge nell'interfaccia utente di Edge. L'utente riceve un'email con informazioni su come impostare una password. Tuttavia, se il server SMTP non è attivo o se l'utente non può ricevere email per qualsiasi motivo, puoi impostare manualmente la password dell'utente utilizzando i comandi OpenLDAP.

Per impostare la password di un utente:

  1. Utilizza ldapsearch per scaricare le informazioni utente:
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Cerca l'indirizzo email dell'utente nel file ldap.txt. Dovresti vedere un blocco nel modulo:
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
    mail: foo@bar.com
    userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
    uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Utilizza ldappasswd per impostare la password dell'utente in base al suo uid:
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
      "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Ti viene chiesta la password di amministratore OpenLDAP.

Ora l'utente può accedere utilizzando newPassWord.

Impostare manualmente la password di sistema OpenLDAP

L'articolo Ripristino delle password di Edge descrive come modificare la password di sistema OpenLDAP, ma richiede che tu conosca la password esistente. Se hai perso la password, puoi utilizzare la procedura riportata di seguito per reimpostarla.

  1. Utilizza slappasswd per creare la password criptata SSHA per una nuova password:
    slappasswd -h {SSHA} -s newPassWord

    Questo comando restituisce una stringa nel seguente formato:

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6

  2. Apri il file /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif in un editor:
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Trova la riga nel modulo:
    olcRootPW:: OldPasswordString
  4. Sostituisci OldPasswordString con la stringa restituita da slappasswd. Se dopo olcRootPw sono presenti due due punti, rimuovine uno e assicurati che dopo il due punti sia presente uno spazio:
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Riavvia OpenLDAP:
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Controlla utilizzando ldapsearch se la nuova password funziona:
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Ti viene chiesta la password di amministratore OpenLDAP.

  7. Ripeti questi passaggi su tutti gli altri server OpenLDAP utilizzati per la replica.
  8. Aggiorna il server di gestione in modo che utilizzi la nuova password:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Impostare manualmente la password di amministratore di Edge

Reimpostazione delle password perimetrali descrive come modificare la password del sistema perimetrale, ma è necessario conoscere la password esistente. Se hai perso la password di sistema di Edge, puoi utilizzare la procedura riportata di seguito per reimpostarla.

  1. Sul nodo dell'interfaccia utente, arresta l'interfaccia utente di Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Utilizza ldappasswd per impostare la password dell'amministratore di sistema di Edge:
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
      "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Ti viene chiesta la password di amministratore OpenLDAP.

  3. Aggiorna il file di configurazione utilizzato per installare l'interfaccia utente di Edge con la nuova password del sistema Edge:
    APIGEE_ADMINPW=newPassWord
  4. Configura e riavvia l'interfaccia utente di Edge:
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Solo se TLS è attivato nell'interfaccia utente) Riattiva TLS nell'interfaccia utente di Edge come descritto in Configurazione di TLS per l'interfaccia utente di gestione.

Elimina file di blocco SLAPD

Se ricevi un messaggio di errore quando tenti di avviare OpenLDAP ed esiste il file di blocco slapd.pid, puoi eliminarlo.

Il file si trova nel percorso /opt/apigee/apigee-openldap/var/run/slapd.pid. Elimina il file e prova a riavviare OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Se OpenLDAP non si avvia, prova ad avviarlo in modalità di debug e controlla se ci sono errori:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

Gli errori possono rimandare a problemi relativi alle risorse, alla memoria o all'utilizzo della CPU.

Risoluzione dei problemi di replica di OpenLDAP

Se la tua installazione utilizza più server OpenLDAP, puoi controllare le impostazioni di replica per verificare che i server funzionino correttamente.

  1. Assicurati che ldapsearch restituisca i dati da ogni server OpenLDAP:
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Ti viene chiesta la password di amministratore OpenLDAP.

  2. Controlla la configurazione della replica esaminando il file /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. Assicurati che la password di sistema sia la stessa su tutti i server OpenLDAP.
  4. Controlla le impostazioni di iptables e tcp wrapper.