Attività di manutenzione di OpenLDAP

Posizione file di log

I file di log OpenLDAP sono contenuti nella directory /opt/apigee/var/log. Questi file possono essere periodicamente archiviati e rimossi per fare in modo che non occupino troppo disco spazio. Le informazioni sulla manutenzione, archiviazione e rimozione dei log OpenLDAP sono disponibili nella Sezione X. 19.2 del manuale OpenLDAP all'indirizzo http://www.openldap.org/doc/admin24/maintenance.html.

Impostare manualmente la password di un utente

Gli utenti possono richiedere una nuova password Edge nell'interfaccia utente di Edge. L'utente riceve quindi un'email con informazioni sull'impostazione di una password. Tuttavia, se il server SMTP non è attivo o l'utente non può ricevi un'e-mail per qualsiasi motivo, puoi impostare manualmente la password dell'utente utilizzando OpenLDAP tramite comandi SQL.

Per impostare la password di un utente:

  1. Utilizza ldapsearch per scaricare le informazioni utente:
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Cerca l'indirizzo email dell'utente nel file ldap.txt. Dovresti vedere un blocco nel modulo:
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
    mail: foo@bar.com
    userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
    uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Usa ldappasswd per impostare la password dell'utente in base all'uid dell'utente:
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
      "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Ti viene richiesta la password di amministratore OpenLDAP.

Ora l'utente può accedere utilizzando newPassWord.

Impostare manualmente la password di sistema OpenLDAP

La sezione Reimpostazione delle password Edge descrive come modificare le Password di sistema OpenLDAP, ma è necessario conoscere la password esistente. Se l'hai perso puoi utilizzare la procedura seguente per reimpostarla.

  1. Usa slappasswd per creare la password criptata tramite SSHA per una nuova password:
    slappasswd -h {SSHA} -s newPassWord

    Il comando seguente restituisce una stringa nel formato:

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
  2. Apri /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif in un editor:
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Trova la riga nel modulo:
    olcRootPW:: OldPasswordString
  4. Sostituisci OldPasswordString con la stringa restituita da slappasswd. Se sono presenti due due punti dopo olcRootPw, rimuovine uno e assicurati che sia presente uno spazio dopo i due punti:
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Riavvia OpenLDAP:
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Controlla tramite ldapsearch se la nuova password funziona:
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Ti viene richiesta la password di amministratore OpenLDAP.

  7. Ripeti questi passaggi su tutti gli altri server OpenLDAP utilizzati per la replica.
  8. Aggiorna il server di gestione per utilizzare la nuova password:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Imposta manualmente la password di amministratore perimetrale

Reimpostazione delle password Edge descrive come modificare le Password del sistema perimetrale ma occorre conoscere la password esistente. Se hai perso Edge password di sistema, puoi utilizzare la seguente procedura per reimpostarla.

  1. Sul nodo UI, arresta la UI Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Utilizza ldappasswd per impostare la password dell'amministratore di sistema Edge:
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
      "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Ti viene richiesta la password di amministratore OpenLDAP.

  3. Aggiorna il file di configurazione utilizzato per installare la UI Edge con il nuovo sistema Edge password:
    APIGEE_ADMINPW=newPassWord
  4. Configura e riavvia la UI Edge:
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Solo se il protocollo TLS è abilitato nell'interfaccia utente) Riattiva TLS nell'interfaccia utente perimetrale come descritto in Configurazione di TLS per la gestione Interfaccia utente.

Elimina file di blocco SLAPD

Se quando tenti di avviare OpenLDAP ricevi un messaggio di errore che indica che il file slapd.pid blocca il file esiste, puoi eliminare il file.

Il file si trova nel percorso /opt/apigee/apigee-openldap/var/run/slapd.pid. Elimina il e prova a riavviare OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Se OpenLDAP non si avvia, prova ad avviarlo in modalità di debug e verifica che non ci siano errori:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

Gli errori possono rimandare a problemi relativi alle risorse, alla memoria o all'utilizzo della CPU.

Modifica della replica OpenLDAP in corso...

Questa sezione spiega come modificare la replica OpenLDAP.

Esegui i passaggi della procedura seguente sul nodo del replicatore OpenLDAP, che replica che contiene i suoi dati da un altro nodo OpenLDAP. Ad esempio, se imposti la replica da node1 a node2, dei comandi su node1.

  1. Controlla lo stato attuale:
    ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    L'output dovrebbe essere simile al seguente:

    olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
  2. Crea il file repl.lidf e incolla i comandi seguenti:
    dn: olcDatabase={2}bdb,cn=config
    changetype: modify
    replace: olcSyncRepl
        olcSyncRepl: rid=001
        provider=ldap://{NEW_HOST}:{PORT}/
        binddn="cn=manager,dc=apigee,dc=com"
        bindmethod=simple
        credentials={PASSWORD}
        searchbase="dc=apigee,dc=com"
        attrs="*,+"
        type=refreshAndPersist
        retry="60 1 300 12 7200 +"
        timeout=1

    Assicurati di sostituire il valore appropriato per i seguenti segnaposto:

    • {NEW_HOST}: il nuovo host OpenLDAP che intendi replicare.
    • {PORT}: la porta OpenLDAP. La porta predefinita è 10389.
    • {PASSWORD}: la password di OpenLDAP.
  3. Esegui il comando ldapmodify:
    ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
        

    The output should be similar to the following:

    modifying entry "olcDatabase={2}bdb,cn=config"
  4. Verifica la replica:
    ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    L'output dovrebbe essere simile al seguente:

    olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

    Puoi verificare che la replica funzioni correttamente leggendo e confrontando il contextCSN per ogni server e verificare che corrispondano.

    ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN

Risoluzione dei problemi di replica OpenLDAP problemi

Se l'installazione utilizza più server OpenLDAP, puoi controllare le impostazioni di replica per verificare che i server funzionino correttamente.

  1. Assicurati che ldapsearch restituisca i dati da ogni server OpenLDAP:
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Ti viene richiesta la password di amministratore OpenLDAP.

  2. Controlla la configurazione di replica esaminando /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif .
  3. Assicurati che la password di sistema sia la stessa su tutti i server OpenLDAP.
  4. Controlla le impostazioni del wrapper iptables e tcp.