OpenLDAP のメンテナンス タスク

ログファイルの場所

OpenLDAP のログファイルは、ディレクトリ /opt/apigee/var/log に含まれています。これらのファイルは、過度にディスク領域を占有しないように定期的にアーカイブに移動したり削除したりできます。OpenLDAP ログの保守、アーカイブ、削除に関する情報は、http://www.openldap.org/doc/admin24/maintenance.html の OpenLDAP マニュアルのセクション 19.2 にあります。

手動でユーザーのパスワードを設定する

ユーザーは Edge UI で新しい Edge パスワードを要求できます。ユーザーは、パスワードの設定に関する情報をメールで受け取ります。ただし、SMTP サーバーがダウンしている場合や、ユーザーがなんらかの理由でメールを受信できない場合は、OpenLDAP コマンドを使用してユーザーのパスワードを手動で設定できます。

ユーザーのパスワードを設定するには

  1. ldapsearch を使用してユーザー情報をダウンロードします。
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. ldap.txt ファイルでユーザーのメールアドレスを検索します。ブロックが次の形式で表示されます。
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
        mail: foo@bar.com
        userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
        uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. ldappasswd を使用して、ユーザーの UID に基づいたユーザーのパスワードを設定します。
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
          "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    OpenLDAP 管理者パスワードの入力が求められます。

これで、newPassWord を使用してログインできます。

手動で OpenLDAP システムのパスワードを設定する

Edge パスワードのリセットでは、OpenLDAP システムのパスワードを変更する方法について説明しますが、既存のパスワードを知っている必要があります。そのパスワードを紛失した場合は、次の手順に従ってパスワードをリセットできます。

  1. slappasswd を使用して、新しいパスワードの SSHA で暗号化されたパスワードを作成します。
    slappasswd -h {SSHA} -s newPassWord

    このコマンドは、次の形式の文字列を返します。

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
  2. /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif ファイルをエディタで開きます。
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. 次の形式の行を探します。
    olcRootPW:: OldPasswordString
  4. OldPasswordStringslappasswd から返された文字列に置き換えます。olcRootPw の後に 2 つのコロンがある場合、コロンの後ろにスペースがあることを確認します。
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. OpenLDAP を再起動します
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. ldapsearch を使用して新しいパスワードが機能することを確認します。
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    OpenLDAP 管理者パスワードの入力が求められます。

  7. レプリケーションに使用されている他の OpenLDAP サーバーでも、これらの手順を繰り返します。
  8. 新しいパスワードを使用するには、Management Server を更新します。
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Edge 管理者パスワードを手動で設定する

Edge パスワードのリセットでは、Edge システムのパスワードを変更する方法について説明しますが、既存のパスワードを知っている必要があります。Edge システムのパスワードを紛失した場合は、次の手順でリセットできます。

  1. UI ノードで Edge UI を停止します。
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. ldappasswd を使用して、Edge システム管理者のパスワードを設定します。
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
          "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    OpenLDAP 管理者パスワードの入力が求められます。

  3. 新しい Edge システム パスワードを使用して Edge UI をインストールした際に用いた構成ファイルを更新します。
    APIGEE_ADMINPW=newPassWord
  4. Edge UI を構成して再起動します。
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (UI で TLS が有効になっている場合のみ)管理 UI の TLS の構成の説明に従って、Edge UI で TLS を再度有効にします。

SLAPD ロックファイルを削除する

OpenLDAP を起動しようとすると、slapd.pid ロックファイルが存在するというエラーが発生する場合は、ファイルを削除できます。

このファイルは /opt/apigee/apigee-openldap/var/run/slapd.pid にあります。ファイルを削除して OpenLDAP を再起動してみてください。

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

OpenLDAP が起動しない場合は、デバッグモードで起動してエラーを確認してください。

slapd -h ldap://:10389/ -u apigee -F /opt/apigee/apigee-openldap/var/run -d 255

エラーは、リソースの問題、メモリ、CPU 使用率の問題を示す可能性があります。

OpenLDAP のレプリケーションに関する問題のトラブルシューティング

インストールで複数の OpenLDAP サーバーを使用する場合は、レプリケーションの設定をチェックして、サーバーが正常に機能していることを確認できます。

  1. ldapsearch で各 OpenLDAP サーバーからデータが返されることを確認します。
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    OpenLDAP 管理者パスワードの入力が求められます。

  2. /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif ファイルを実行してレプリケーション構成を確認します。
  3. 各 OpenLDAP サーバーでパスワードが同じであることを確認してください。
  4. iptables と tcp ラッパーの設定を確認してください。