Attività di manutenzione di OpenLDAP

Posizione del file di log

I file di log di OpenLDAP sono contenuti nella directory /opt/apigee/var/log. Questi file possono essere archiviati e rimossi periodicamente per assicurarsi che non occupino troppo spazio su disco. Per informazioni sulla manutenzione, sull'archiviazione e sulla rimozione dei log OpenLDAP, consulta la Sezione 19.2 del manuale di OpenLDAP all'indirizzo http://www.openldap.org/doc/admin24/maintenance.html.

Impostare manualmente la password di un utente

Gli utenti possono richiedere una nuova password Edge nell'interfaccia utente di Edge. L'utente riceve un'email con informazioni su come impostare una password. Tuttavia, se il server SMTP non è attivo o l'utente non può ricevere un'email per qualsiasi motivo, puoi impostare manualmente la password dell'utente utilizzando i comandi OpenLDAP.

Per impostare la password di un utente:

  1. Utilizza ldapsearch per scaricare le informazioni utente: 
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Cerca l'indirizzo email dell'utente nel file ldap.txt. Dovresti vedere un blocco nel modulo: 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Utilizza ldappasswd per impostare la password dell'utente in base al suo uid: 
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Ti viene chiesta la password di amministratore OpenLDAP.

Ora l'utente può accedere utilizzando newPassWord.

Impostare manualmente la password di sistema OpenLDAP

L'articolo Ripristino delle password di Edge descrive come modificare la password di sistema OpenLDAP, ma richiede che tu conosca la password esistente. Se hai perso la password, puoi utilizzare la seguente procedura per reimpostarla.

  1. Utilizza slappasswd per creare la password criptata SSHA per una nuova password: 
    slappasswd -h {SSHA} -s newPassWord

    Questo comando restituisce una stringa nel seguente formato: 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6

  2. Apri il file /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif in un editor: 
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Trova la riga nel modulo: 
    olcRootPW:: OldPasswordString
  4. Sostituisci OldPasswordString con la stringa restituita da slappasswd. Se dopo olcRootPw sono presenti due due punti, rimuovine uno e assicurati che dopo il due punti sia presente uno spazio: 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Riavvia OpenLDAP: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Controlla utilizzando ldapsearch se la nuova password funziona: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Ti viene chiesta la password di amministratore OpenLDAP.

  7. Ripeti questi passaggi su tutti gli altri server OpenLDAP utilizzati per la replica.
  8. Aggiorna il server di gestione in modo che utilizzi la nuova password: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Impostare manualmente la password di amministratore di Edge

L'articolo Ripristino delle password di Edge descrive come modificare la password di sistema di Edge, ma richiede che tu conosca la password esistente. Se hai perso la password del sistema perimetrale, puoi utilizzare la seguente procedura per reimpostarla.

  1. Sul nodo UI, arresta la UI Edge: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Utilizza ldappasswd per impostare la password dell'amministratore di sistema di Edge: 
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Ti viene chiesta la password di amministratore OpenLDAP.

  3. Aggiorna il file di configurazione utilizzato per installare l'interfaccia utente di Edge con la nuova password del sistema Edge: 
    APIGEE_ADMINPW=newPassWord
  4. Configura e riavvia la UI Edge: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Solo se TLS è attivato nell'interfaccia utente) Riattiva TLS nell'interfaccia utente di Edge come descritto in Configurazione di TLS per l'interfaccia utente di gestione.

Elimina file di blocco SLAPD

Se durante il tentativo di avviare OpenLDAP viene visualizzato un messaggio di errore che indica che il file di blocco slapd.pid esiste, puoi eliminarlo.

Il file si trova nel percorso /opt/apigee/apigee-openldap/var/run/slapd.pid. Elimina il file e prova a riavviare OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Se OpenLDAP non si avvia, prova ad avviarlo in modalità di debug e controlla se ci sono errori:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

Gli errori possono rimandare a problemi relativi alle risorse, alla memoria o all'utilizzo della CPU.

Risoluzione dei problemi di replica di OpenLDAP

Se la tua installazione utilizza più server OpenLDAP, puoi controllare le impostazioni di replica per verificare che i server funzionino correttamente.

  1. Assicurati che ldapsearch restituisca i dati da ogni server OpenLDAP: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Ti viene chiesta la password di amministratore OpenLDAP.

  2. Controlla la configurazione della replica esaminando il file /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. Assicurati che la password di sistema sia la stessa su tutti i server OpenLDAP.
  4. Controlla le impostazioni di iptables e tcp wrapper.