Tarefas de manutenção do OpenLDAP

Edge para nuvem privada v4.19.01

Local do arquivo de registro

Os arquivos de registro do OpenLDAP estão contidos no diretório /opt/apigee/var/log. Esses arquivos podem ser arquivados e removidos periodicamente para garantir que não ocupem espaço excessivo no disco. Informações sobre manutenção, arquivamento e remoção de registros do OpenLDAP podem ser encontradas na Seção 19.2 do manual do OpenLDAP em http://www.openldap.org/doc/admin24/maintenance.html.

Definir manualmente a senha de um usuário

O usuário pode solicitar uma nova senha do Edge na interface do Edge. O usuário recebe um e-mail com informações sobre como definir uma senha. No entanto, se o servidor SMTP estiver inativo ou se o usuário não conseguir receber um e-mail por qualquer motivo, será possível definir manualmente a senha do usuário usando comandos do OpenLDAP.

Para definir a senha de um usuário:

  1. Use ldapsearch para fazer o download das informações do usuário: 
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Pesquise o endereço de e-mail do usuário no arquivo ldap.txt. Você vai encontrar um bloco no formulário: 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Use ldappasswd para definir a senha do usuário com base no uid dele: 
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    A senha de administrador do OpenLDAP é solicitada.

O usuário pode fazer login usando newPassWord.

Definir manualmente a senha do sistema OpenLDAP

Redefinir senhas do Edge descreve como mudar a senha do sistema OpenLDAP, mas exige que você saiba a senha atual. Se você perdeu essa senha, use o procedimento a seguir para redefini-la.

  1. Use slappasswd para criar a senha criptografada SSHA de uma nova senha: 
    slappasswd -h {SSHA} -s newPassWord

    Esse comando retorna uma string no formato: 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6

  2. Abra o arquivo /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif em um editor: 
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Encontre a linha no formulário: 
    olcRootPW:: OldPasswordString
  4. Substitua OldPasswordString pela string retornada de slappasswd. Se houver dois dois-pontos após olcRootPw, remova um e verifique se há um espaço após o dois-pontos: 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Reinicie o OpenLDAP: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Use ldapsearch para verificar se a nova senha funciona: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    A senha de administrador do OpenLDAP é solicitada.

  7. Repita essas etapas em todos os outros servidores do OpenLDAP que estão sendo usados para a replicação.
  8. Atualize o servidor de gerenciamento para usar a nova senha: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Definir manualmente a senha do administrador do Edge

Como redefinir senhas de borda descreve como mudar a senha do sistema de borda, mas exige que você saiba a senha atual. Se você perdeu a senha do sistema do Edge, use o procedimento a seguir para redefini-la.

  1. No nó da interface, interrompa a interface do Edge: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Use ldappasswd para definir a senha de administrador do sistema do Edge: 
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    A senha de administrador do OpenLDAP será solicitada.

  3. Atualize o arquivo de configuração usado para instalar a interface do Edge com a nova senha do sistema do Edge: 
    APIGEE_ADMINPW=newPassWord
  4. Configure e reinicie a interface do Edge: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Somente se o TLS estiver ativado na interface) reative o TLS na interface do Edge, conforme descrito em Como configurar o TLS para a interface de gerenciamento.

Excluir o arquivo de bloqueio do SLAPD

Se você receber um erro ao tentar iniciar o OpenLDAP informando que o arquivo de bloqueio slapd.pid existe, poderá excluir o arquivo.

O arquivo está localizado em /opt/apigee/apigee-openldap/var/run/slapd.pid. Exclua o arquivo e tente reiniciar o OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Se o OpenLDAP não iniciar, tente iniciá-lo no modo de depuração e verifique se há erros:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

Os erros podem indicar problemas de recursos, memória ou uso da CPU.

Solução de problemas de replicação do OpenLDAP

Se a instalação usar vários servidores OpenLDAP, verifique as configurações de replicação para garantir que os servidores estejam funcionando corretamente.

  1. Verifique se ldapsearch retorna dados de cada servidor do OpenLDAP: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Você vai precisar informar a senha de administrador do OpenLDAP.

  2. Verifique a configuração de replicação examinando o arquivo /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. Verifique se a senha do sistema é a mesma em cada servidor do OpenLDAP.
  4. Verifique as configurações do iptables e do wrapper tcp.