Zadania konserwacji OpenLDAP

Edge for Private Cloud w wersji 4.19.01

Lokalizacja pliku dziennika

Pliki dzienników OpenLDAP znajdują się w katalogu /opt/apigee/var/log. Pliki te można okresowo archiwizować i usuwać, aby nie zajmowały zbyt dużo miejsca na dysku. Informacje o utrzymywaniu, archiwizowaniu i usuwaniu logów OpenLDAP znajdziesz w sekcji 19.2 podręcznika OpenLDAP na stronie http://www.openldap.org/doc/admin24/maintenance.html.

Ręczne ustawianie hasła użytkownika

Użytkownik może poprosić o nowe hasło do Edge w interfejsie Edge. Następnie użytkownik otrzyma e-maila z informacjami o ustawianiu hasła. Jeśli jednak serwer SMTP jest niedostępny lub użytkownik z jakiegoś powodu nie może otrzymać e-maila, możesz ręcznie ustawić jego hasło, używając poleceń OpenLDAP.

Aby ustawić hasło użytkownika:

  1. Użyj narzędzia ldapsearch, aby pobrać informacje o użytkownikach: 
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Wyszukaj adres e-mail użytkownika w pliku ldap.txt. Blok powinien pojawić się w formacie: 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Użyj ldappasswd, aby ustawić hasło użytkownika na podstawie jego identyfikatora uid: 
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

Użytkownik może teraz logować się za pomocą newPassWord.

Ręczne ustawianie hasła systemu OpenLDAP

Resetowanie haseł Edge zawiera opis sposobu zmiany hasła systemu OpenLDAP, ale wymaga znajomości dotychczasowego hasła. Jeśli nie pamiętasz tego hasła, możesz je zresetować, wykonując poniższe czynności.

  1. Użyj slappasswd, aby utworzyć zaszyfrowane hasło SSHA dla nowego hasła: 
    slappasswd -h {SSHA} -s newPassWord

    To polecenie zwraca ciąg znaków w tym formacie: 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6

  2. Otwórz plik /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif w edytorze: 
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Znajdź wiersz w formularzu: 
    olcRootPW:: OldPasswordString
  4. Zastąp OldPasswordString ciągiem zwróconym przez slappasswd. Jeśli po olcRootPw są 2 dwukropki, usuń jeden i upewnij się, że po dwukropku jest spacja: 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Uruchom ponownie OpenLDAP: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Sprawdź, czy nowe hasło działa, używając ldapsearch: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

  7. Powtórz te czynności na wszystkich serwerach OpenLDAP, które są używane do replikacji.
  8. Zaktualizuj serwer zarządzania, aby używać nowego hasła: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Ręcznie ustaw hasło administratora Edge

Artykuł Resetowanie haseł brzegowych zawiera informacje o tym, jak zmienić hasło do systemu Edge, ale wymaga podania istniejącego hasła. Jeśli zapomnisz hasła do systemu Edge, możesz je zresetować, wykonując te czynności.

  1. Na węźle interfejsu zatrzymaj interfejs Edge: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Użyj ldappasswd, aby ustawić hasło administratora systemu Edge: 
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

  3. Zaktualizuj plik konfiguracji, którego użyjesz do zainstalowania interfejsu Edge, za pomocą nowego systemu Edge hasło: 
    APIGEE_ADMINPW=newPassWord
  4. Skonfiguruj i ponownie uruchom interfejs Edge: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Tylko jeśli protokół TLS jest włączony w UI) Włącz ponownie TLS w interfejsie Edge zgodnie z opisem w sekcji Konfigurowanie TLS w interfejsie zarządzania.

Usuwanie pliku blokady SLAPD

Jeśli podczas uruchamiania OpenLDAP pojawi się błąd informujący o istnieniu pliku blokady slapd.pid, możesz go usunąć.

Plik znajduje się w folderze /opt/apigee/apigee-openldap/var/run/slapd.pid. Usuń plik i spróbuj ponownie uruchomić OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Jeśli OpenLDAP się nie uruchamia, spróbuj uruchomić go w trybie debugowania i sprawdź, czy nie występują błędy:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

Błędy mogą wskazywać na problemy z zasobami, pamięcią lub wykorzystaniem procesora.

Rozwiązywanie problemów z replikacją OpenLDAP

Jeśli Twoja instalacja korzysta z wielu serwerów OpenLDAP, możesz sprawdzić ustawienia replikacji, aby mieć pewność, że serwery działają prawidłowo.

  1. Sprawdź, czy funkcja ldapsearch zwraca dane z każdego serwera OpenLDAP: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

  2. Sprawdź konfigurację replikacji, sprawdzając plik /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. Upewnij się, że hasło systemowe jest takie samo na każdym serwerze OpenLDAP.
  4. Sprawdź ustawienia iptables oraz tcp wrapper.