Posizione del file di log
I file di log di OpenLDAP si trovano nella directory /opt/apigee/var/log
. Questi file possono essere
periodicamente archiviati e rimossi per garantire che non occupino spazio su disco
eccessivo. Le informazioni sulla gestione, archiviazione e rimozione dei log di OpenLDAP sono disponibili nella Sezione 19.2 del manuale di OpenLDAP all'indirizzo http://www.openldap.org/doc/admin24/maintenance.html.
Impostare manualmente la password di un utente
Gli utenti possono richiedere una nuova password perimetrale nella UI perimetrale. L'utente riceve un'email con informazioni sull'impostazione di una password. Tuttavia, se il server SMTP non è attivo o se per qualsiasi motivo l'utente non può ricevere email, puoi impostare manualmente la password dell'utente utilizzando i comandi OpenLDAP.
Per impostare la password di un utente:
- Utilizza
ldapsearch
per scaricare le informazioni utente:ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
- Cerca l'indirizzo email dell'utente nel file ldap.txt. Nel modulo dovresti vedere un blocco:
dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com mail: foo@bar.com userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ== uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
- Utilizza
ldappasswd
per impostare la password dell'utente in base al suo uid:ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \ "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"
Ti verrà chiesta la password amministratore di OpenLDAP.
Ora l'utente può accedere utilizzando newPassWord.
Imposta manualmente la password di sistema OpenLDAP
Reimpostazione delle password Edge descrive come modificare la password di sistema OpenLDAP, ma richiede la conoscenza della password esistente. Se hai perso la password, puoi utilizzare la seguente procedura per reimpostarla.
- Usa
slappasswd
per creare la password criptata con SSHA per una nuova password:slappasswd -h {SSHA} -s newPassWord
Questo comando restituisce una stringa nel formato:
{SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
- Apri il file
/opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
in un editor:vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
- Trova la riga nel modulo:
olcRootPW:: OldPasswordString
- Sostituisci OldPasswordString con la stringa restituita da
slappasswd
. Se sono presenti due simboli di due punti dopoolcRootPw
, rimuovine uno e assicurati che sia presente uno spazio dopo i due punti:olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
- Riavvia OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
- Controlla con
ldapsearch
se la nuova password funziona:ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
Ti verrà chiesta la password amministratore di OpenLDAP.
- Ripeti questi passaggi su tutti gli altri server OpenLDAP utilizzati per la replica.
- Aggiorna il server di gestione per utilizzare la nuova password:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord
Impostare manualmente la password di amministrazione Edge
Reimpostazione delle password perimetrali descrive come modificare la password del sistema Edge, ma richiede la conoscenza della password esistente. Se hai perso la password di sistema Edge, puoi utilizzare la seguente procedura per reimpostarla.
- Sul nodo UI, arresta l'interfaccia utente Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- Utilizza
ldappasswd
per impostare la password di amministratore di sistema Edge:ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \ "uid=admin,ou=users,ou=global,dc=apigee,dc=com"
Ti verrà chiesta la password amministratore di OpenLDAP.
- Aggiorna il file di configurazione utilizzato per installare l'UI Edge con la nuova password di Edge System:
APIGEE_ADMINPW=newPassWord
- Configura e riavvia la UI Edge:
/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Solo se TLS è abilitato nell'interfaccia utente) Riattiva TLS sulla UI Edge come descritto in Configurare TLS per la UI di gestione.
Elimina file di blocco SLAPD
Se quando cerchi di avviare OpenLDAP ricevi un messaggio di errore che indica che esiste il file di blocco slapd.pid
, puoi eliminarlo.
Il file si trova in /opt/apigee/apigee-openldap/var/run/slapd.pid
. Elimina il file e prova a riavviare OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
Se OpenLDAP non si avvia, prova ad avviarlo in modalità di debug e verifica che non ci siano errori:
slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d
Gli errori possono rimandare a problemi delle risorse, della memoria o dell'utilizzo della CPU.
Modifica della replica OpenLDAP
Questa sezione spiega come modificare la replica OpenLDAP.
Esegui i passaggi nella seguente procedura sul nodo del replicatore OpenLDAP, che replica i dati nell'altro nodo OpenLDAP. Ad esempio, se stai impostando la replica da nodo1 a nodo2, esegui i comandi su node1.
- Controlla lo stato attuale:
ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl
L'output dovrebbe essere simile al seguente:
olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
- Crea un file
repl.lidf
e incolla i seguenti comandi nel file:dn: olcDatabase={2}bdb,cn=config changetype: modify replace: olcSyncRepl olcSyncRepl: rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
Assicurati di sostituire il valore appropriato per i seguenti segnaposto:
{NEW_HOST}
: il nuovo host OpenLDAP, in cui prevedi di replicare.{PORT}
: la porta OpenLDAP. La porta predefinita è10389
.{PASSWORD}
: la password di OpenLDAP.
- Esegui il comando
ldapmodify
:ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
The output should be similar to the following:
modifying entry "olcDatabase={2}bdb,cn=config"
- Verifica la replica:
ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl
L'output dovrebbe essere simile al seguente:
olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
Per verificare se la replica funziona correttamente, leggi e confronta il valore
contextCSN
di ciascun server e assicurati che corrispondano.ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN
Risoluzione dei problemi di replica OpenLDAP
Se l'installazione utilizza più server OpenLDAP, puoi controllare le impostazioni di replica per assicurarti che i server funzionino correttamente.
- Assicurati che
ldapsearch
restituisca i dati da ciascun server OpenLDAP:ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
Ti verrà chiesta la password amministratore di OpenLDAP.
- Controlla la configurazione della replica esaminando il file
/opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
. - Assicurati che la password di sistema sia la stessa su ogni server OpenLDAP.
- Controlla le impostazioni dei wrapper iptables e tcp.