Ubicación del archivo de registro
Los archivos de registro de OpenLDAP se encuentran en el directorio /opt/apigee/var/log
. Estos archivos se pueden archivar y quitar periódicamente para garantizar que no ocupen demasiado espacio en el disco. Puede encontrar información sobre cómo mantener, archivar y eliminar registros de OpenLDAP en la sección 19.2 del manual de OpenLDAP en http://www.openldap.org/doc/admin24/maintenance.html.
Cómo configurar la contraseña de un usuario de forma manual
El usuario puede solicitar una nueva contraseña de Edge en la IU de Edge. Luego, el usuario recibe un correo electrónico con información sobre cómo configurar una contraseña. Sin embargo, si el servidor SMTP no está disponible o el usuario no puede recibir un correo electrónico por algún motivo, puedes configurar la contraseña del usuario de forma manual con los comandos de OpenLDAP.
Para configurar la contraseña de un usuario, haz lo siguiente:
- Usa
ldapsearch
para descargar la información del usuario:ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
- Busca la dirección de correo electrónico del usuario en el archivo ldap.txt. Deberías ver un bloque con el siguiente formato:
dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com mail: foo@bar.com userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ== uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
- Usa
ldappasswd
para configurar la contraseña del usuario según su UID:ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \ "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"
.Se te solicitará la contraseña de administrador de OpenLDAP.
El usuario ahora puede acceder con newPassWord.
Contraseña del sistema OpenLDAP configurada manualmente
En Cómo restablecer contraseñas de Edge, se describe cómo cambiar la contraseña del sistema de OpenLDAP, pero es necesario que conozcas la contraseña existente. Si perdiste esa contraseña, puedes realizar el siguiente procedimiento para restablecerla.
- Usa
slappasswd
a fin de crear la contraseña encriptada mediante SSHA para una contraseña nueva:slappasswd -h {SSHA} -s newPassWord
.Este comando muestra una string con el siguiente formato:
{SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
- Abre el archivo
/opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
en un editor:vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
- Busca la línea en el formulario:
olcRootPW:: OldPasswordString
- Reemplaza OldPasswordString por la cadena que muestra
slappasswd
. Si hay 2 puntos después deolcRootPw
, quita uno y asegúrate de que haya un espacio después de los dos puntos:olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
. - Reiniciar OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
- Si la contraseña nueva funciona, verifica con
ldapsearch
:ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
Se te solicitará la contraseña de administrador de OpenLDAP.
- Repite estos pasos en cualquier otro servidor de OpenLDAP que se esté usando para la replicación.
- Actualiza el servidor de administración para usar la contraseña nueva:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord
Configura la contraseña de administrador de Edge de forma manual
En Restablece las contraseñas de Edge, se describe cómo cambiar la contraseña del sistema perimetral, pero es necesario que conozcas la contraseña existente. Si perdiste la contraseña del sistema de Edge, puedes usar el siguiente procedimiento para restablecerla.
- En el nodo de la IU, detén la IU de Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- Usa
ldappasswd
para establecer la contraseña de administrador del sistema de Edge:ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \ "uid=admin,ou=users,ou=global,dc=apigee,dc=com"
Se te solicitará la contraseña de administrador de OpenLDAP.
- Actualiza el archivo de configuración que usaste para instalar la IU de Edge con la nueva contraseña del sistema perimetral:
APIGEE_ADMINPW=newPassWord
. - Configura y reinicia la IU de Edge:
/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Solo si TLS está habilitado en la IU) Vuelve a habilitar TLS en la IU de Edge como se describe en Configura TLS para la IU de administración.
Borrar archivo de bloqueo del Acuerdo de nivel de servicio (SLAPD)
Si, al intentar iniciar OpenLDAP, recibes un mensaje de error que indica que el archivo de bloqueo slapd.pid
existe, puedes borrarlo.
El archivo se encuentra en /opt/apigee/apigee-openldap/var/run/slapd.pid
. Borra el archivo y, luego, intenta reiniciar OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
Si el OpenLDAP no se inicia, intenta iniciarlo en modo de depuración y comprueba si hay errores:
slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d
Los errores pueden indicar problemas de recursos, memoria o uso de CPU.
Modificación de la replicación del OpenLDAP
En esta sección, se explica cómo modificar la replicación de OpenLDAP.
Realiza los pasos del siguiente procedimiento en el nodo replicador de OpenLDAP, que replica sus datos en el otro nodo de OpenLDAP. Por ejemplo, si configuras la replicación de node1 a node2, ejecuta los comandos en node1.
- Verifica el estado actual:
ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl
El resultado debería ser similar al siguiente ejemplo:
olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
- Crea un archivo
repl.lidf
y pega los siguientes comandos en el archivo:dn: olcDatabase={2}bdb,cn=config changetype: modify replace: olcSyncRepl olcSyncRepl: rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
Asegúrate de reemplazar el valor apropiado para los siguientes marcadores de posición:
{NEW_HOST}
: Es el nuevo host de OpenLDAP que planeas replicar.{PORT}
: Es el puerto OpenLDAP. El puerto predeterminado es10389
.{PASSWORD}
: Es la contraseña de OpenLDAP.
- Ejecuta el comando
ldapmodify
:ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
The output should be similar to the following:
modifying entry "olcDatabase={2}bdb,cn=config"
- Verifica la replicación:
ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl
El resultado debería ser similar al siguiente:
olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
Para verificar que la replicación funcione de forma correcta, lee y compara el valor
contextCSN
de cada servidor y asegúrate de que coincidan.ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN
Solución de problemas de replicación de OpenLDAP
Si tu instalación usa varios servidores de OpenLDAP, puedes verificar la configuración de replicación para asegurarte de que los servidores funcionen de forma correcta.
- Asegúrate de que
ldapsearch
muestre datos de cada servidor OpenLDAP:ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
Se te solicitará la contraseña de administrador de OpenLDAP.
- Verifica la configuración de replicación mediante el análisis del archivo
/opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
. - Asegúrate de que la contraseña del sistema sea la misma en todos los servidores OpenLDAP.
- Verifica la configuración de iptables y del wrapper de tcp.