Tâches de maintenance OpenLDAP

Emplacement du fichier journal

Les fichiers journaux OpenLDAP se trouvent dans le répertoire /opt/apigee/var/log. Ces fichiers peuvent être archivés et supprimés régulièrement pour s'assurer qu'ils n'occupent pas trop d'espace disque. Pour en savoir plus sur la maintenance, l'archivage et la suppression des journaux OpenLDAP, consultez la section 19.2 du manuel OpenLDAP à l'adresse http://www.openldap.org/doc/admin24/maintenance.html.

Définir manuellement le mot de passe d'un utilisateur

Les utilisateurs peuvent demander un nouveau mot de passe Edge dans l'interface utilisateur Edge. L'utilisateur reçoit ensuite un e-mail contenant des informations sur la définition d'un mot de passe. Toutefois, si votre serveur SMTP est en panne ou si l'utilisateur ne peut pas recevoir d'e-mail pour une raison quelconque, vous pouvez définir manuellement son mot de passe à l'aide de commandes OpenLDAP.

Pour définir le mot de passe d'un utilisateur:

  1. Utilisez ldapsearch pour télécharger les informations utilisateur :
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Recherchez l'adresse e-mail de l'utilisateur dans le fichier ldap.txt. Un bloc au format suivant doit s'afficher :
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
    mail: foo@bar.com
    userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
    uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Utilisez ldappasswd pour définir le mot de passe de l'utilisateur en fonction de l'UID de l'utilisateur :
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
      "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Vous êtes invité à saisir le mot de passe administrateur OpenLDAP.

L'utilisateur peut désormais se connecter en utilisant newPassWord.

Définir manuellement le mot de passe système OpenLDAP

La section Réinitialiser les mots de passe Edge explique comment modifier le mot de passe du système OpenLDAP, mais nécessite que vous connaissiez le mot de passe existant. Si vous avez perdu ce mot de passe, vous pouvez le réinitialiser en suivant la procédure ci-dessous.

  1. Utilisez slappasswd pour créer le mot de passe chiffré SSHA d'un nouveau mot de passe :
    slappasswd -h {SSHA} -s newPassWord

    Cette commande renvoie une chaîne au format suivant :

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6

  2. Ouvrez le fichier /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif dans un éditeur :
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Recherchez la ligne au format :
    olcRootPW:: OldPasswordString
  4. Remplacez OldPasswordString par la chaîne renvoyée par slappasswd. Si deux deux-points suivent olcRootPw, supprimez-en un et assurez-vous qu'un espace suit le deux-points :
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Redémarrez OpenLDAP :
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Vérifiez à l'aide de ldapsearch si votre nouveau mot de passe fonctionne :
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Vous êtes invité à saisir le mot de passe administrateur OpenLDAP.

  7. Répétez ces étapes sur tous les autres serveurs OpenLDAP utilisés pour la réplication.
  8. Mettez à jour le serveur de gestion pour qu'il utilise le nouveau mot de passe :
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Définir manuellement le mot de passe administrateur Edge

Réinitialiser les mots de passe Edge explique comment modifier le mot de passe système Edge, mais vous devez connaître le mot de passe existant. Si vous avez perdu le mot de passe du système Edge, vous pouvez le réinitialiser en suivant la procédure ci-dessous.

  1. Sur le nœud UI, arrêtez l'interface utilisateur Edge :
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Utilisez ldappasswd pour définir le mot de passe de l'administrateur système Edge :
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
      "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Vous êtes invité à saisir le mot de passe administrateur OpenLDAP.

  3. Mettez à jour le fichier de configuration que vous avez utilisé pour installer l'UI Edge avec le nouveau mot de passe système Edge :
    APIGEE_ADMINPW=newPassWord
  4. Configurez et redémarrez l'interface utilisateur Edge :
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Uniquement si TLS est activé dans l'UI) Réactivez TLS dans l'UI Edge, comme décrit dans la section Configurer TLS pour l'UI de gestion.

Supprimer le fichier de verrouillage SLAPD

Si vous recevez une erreur indiquant que le fichier de verrouillage slapd.pid existe lorsque vous essayez de démarrer OpenLDAP, vous pouvez le supprimer.

Le fichier se trouve dans /opt/apigee/apigee-openldap/var/run/slapd.pid. Supprimez le fichier et essayez de redémarrer OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Si OpenLDAP ne démarre pas, essayez de le démarrer en mode débogage et recherchez les erreurs:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

Les erreurs peuvent indiquer des problèmes de ressources, de mémoire ou d'utilisation du processeur.

Résoudre les problèmes de réplication OpenLDAP

Si votre installation utilise plusieurs serveurs OpenLDAP, vous pouvez vérifier les paramètres de réplication pour vous assurer qu'ils fonctionnent correctement.

  1. Assurez-vous que ldapsearch renvoie des données de chaque serveur OpenLDAP :
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Vous êtes invité à saisir le mot de passe administrateur OpenLDAP.

  2. Vérifiez la configuration de la réplication en examinant le fichier /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. Assurez-vous que le mot de passe système est le même sur chaque serveur OpenLDAP.
  4. Vérifiez les paramètres iptables et du wrapper TCP.