Zadania konserwacji OpenLDAP

Lokalizacja pliku dziennika

Pliki dzienników OpenLDAP znajdują się w katalogu /opt/apigee/var/log. Pliki te można okresowo archiwizować i usuwać, aby nie zajmowały zbyt dużo miejsca na dysku. Informacje o utrzymywaniu, archiwizowaniu i usuwaniu logów OpenLDAP znajdziesz w sekcji 19.2 podręcznika OpenLDAP na stronie http://www.openldap.org/doc/admin24/maintenance.html.

Ręczne ustawianie hasła użytkownika

Użytkownik może poprosić o nowe hasło do Edge w interfejsie Edge. Następnie użytkownik otrzyma e-maila z informacjami o ustawianiu hasła. Jeśli jednak serwer SMTP nie działa lub z jakiegokolwiek powodu użytkownik nie może odebrać e-maila, możesz ręcznie ustawić hasło użytkownika za pomocą poleceń OpenLDAP.

Aby ustawić hasło użytkownika:

  1. Aby pobrać informacje o użytkowniku, użyj ldapsearch: 
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Wyszukaj adres e-mail użytkownika w pliku ldap.txt. Blok powinien pojawić się w formacie: 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Użyj ldappasswd, aby ustawić hasło użytkownika na podstawie jego identyfikatora uid: 
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

Użytkownik może teraz logować się za pomocą newPassWord.

Ręcznie ustaw hasło systemowe OpenLDAP

Resetowanie haseł Edge zawiera opis sposobu zmiany hasła systemu OpenLDAP, ale wymaga znajomości dotychczasowego hasła. Jeśli nie pamiętasz tego hasła, możesz je zresetować, wykonując poniższe czynności.

  1. Użyj slappasswd, aby utworzyć zaszyfrowane hasło SSHA dla nowego hasła: 
    slappasswd -h {SSHA} -s newPassWord

    To polecenie zwraca ciąg znaków w tym formacie: 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6

  2. Otwórz plik /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif w edytorze: 
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Znajdź wiersz w formularzu: 
    olcRootPW:: OldPasswordString
  4. Zastąp OldPasswordString ciągiem zwróconym przez slappasswd. Jeśli po olcRootPw są 2 dwukropki, usuń jeden i upewnij się, że po dwukropku jest spacja: 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Uruchom ponownie OpenLDAP: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Sprawdź, czy nowe hasło działa, używając ldapsearch: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

  7. Powtórz te czynności na wszystkich serwerach OpenLDAP, które są używane do replikacji.
  8. Zaktualizuj serwer zarządzania, aby używał nowego hasła: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Ręczne ustawianie hasła administratora w Edge

Resetowanie haseł Edge zawiera opis sposobu zmiany hasła systemowego Edge, ale wymaga znajomości obecnego hasła. Jeśli zapomnisz hasła do systemu Edge, możesz je zresetować, wykonując te czynności.

  1. Na węźle interfejsu zatrzymaj interfejs Edge: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Użyj ldappasswd, aby ustawić hasło administratora systemu Edge: 
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

  3. Zaktualizuj plik konfiguracji, którego użyjesz do zainstalowania interfejsu Edge, za pomocą nowego systemu Edge hasło: 
    APIGEE_ADMINPW=newPassWord
  4. Skonfiguruj i ponownie uruchom interfejs Edge: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Tylko jeśli protokół TLS jest włączony w UI) Włącz ponownie TLS w interfejsie Edge zgodnie z opisem w sekcji Konfigurowanie TLS w interfejsie zarządzania.

Usuwanie pliku blokady SLAPD

Jeśli podczas uruchamiania OpenLDAP pojawi się błąd informujący o istnieniu pliku blokady slapd.pid, możesz go usunąć.

Plik znajduje się w folderze /opt/apigee/apigee-openldap/var/run/slapd.pid. Usuń plik i spróbuj ponownie uruchomić OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Jeśli OpenLDAP się nie uruchamia, spróbuj uruchomić go w trybie debugowania i sprawdź, czy nie występują błędy:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

Błędy mogą wskazywać na problemy z zasobami, pamięcią lub wykorzystaniem procesora.

Rozwiązywanie problemów z replikacją OpenLDAP

Jeśli Twoja instalacja korzysta z wielu serwerów OpenLDAP, możesz sprawdzić ustawienia replikacji, aby upewnić się, że serwery te działają prawidłowo.

  1. Upewnij się, że funkcja ldapsearch zwraca dane z każdego serwera OpenLDAP: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

  2. Sprawdź konfigurację replikacji, badając plik /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
  3. Upewnij się, że hasło systemowe jest takie samo na każdym serwerze OpenLDAP.
  4. Sprawdź ustawienia adresów IP i kodu tcp.