Diese Seite wurde von der Cloud Translation API übersetzt.

OpenLDAP-Wartungsaufgaben

Speicherort der Protokolldatei

OpenLDAP-Protokolldateien sind im Verzeichnis /opt/apigee/var/log enthalten. Diese Dateien können regelmäßig archiviert und entfernt werden, damit sie keinen übermäßigen Speicherplatz belegen. Informationen zum Verwalten, Archivieren und Entfernen von OpenLDAP-Protokollen finden Sie in Abschnitt 19.2 des OpenLDAP-Handbuchs unter http://www.openldap.org/doc/admin24/maintenance.html.

Nutzerpasswort manuell festlegen

Benutzer können in der Edge-Benutzeroberfläche ein neues Edge-Passwort anfordern. Der Nutzer erhält dann eine E-Mail mit Informationen zum Festlegen eines Passworts. Wenn Ihr SMTP-Server jedoch ausgefallen ist oder der Nutzer aus irgendeinem Grund keine E-Mail empfangen kann, können Sie das Passwort des Nutzers mithilfe von OpenLDAP-Befehlen manuell festlegen.

So legen Sie ein Nutzerpasswort fest:

Verwende ldapsearch, um Nutzerinformationen herunterzuladen:

ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt

Suchen Sie in der Datei „ldap.txt“ nach der E-Mail-Adresse des Nutzers. Sie sollten einen Block in folgendem Format sehen:

dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc

Verwenden Sie ldappasswd, um das Passwort des Nutzers anhand der UID des Nutzers festzulegen:

ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

Sie werden aufgefordert, das OpenLDAP-Administratorpasswort einzugeben.

Der Nutzer kann sich jetzt mit newPassWord anmelden.

OpenLDAP-Systempasswort manuell festlegen

Unter Edge-Passwörter zurücksetzen wird beschrieben, wie Sie das OpenLDAP-Systempasswort ändern. Hierfür müssen Sie jedoch das bestehende Passwort kennen. Wenn Sie dieses Passwort vergessen haben, können Sie es mit den folgenden Schritten zurücksetzen.

Erstellen Sie mit slappasswd das SSHA-verschlüsselte Passwort für ein neues Passwort:
```
slappasswd -h {SSHA} -s newPassWord
```
Dieser Befehl gibt einen String in der Form
```
{SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
```
zurück.
Öffnen Sie die Datei /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif in einem Editor:
```
vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
```
Suchen Sie die Zeile im Format
```
olcRootPW:: OldPasswordString
```
.
Ersetzen Sie OldPasswordString durch den von slappasswd zurückgegebenen String. Wenn nach olcRootPw zwei Doppelpunkte stehen, entferne einen und achte darauf, dass nach dem Doppelpunkt ein Leerzeichen steht:
```
olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
```

Starten Sie OpenLDAP neu:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Prüfe mit ldapsearch, ob dein neues Passwort funktioniert:
```
ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
```
Sie werden aufgefordert, das OpenLDAP-Administratorpasswort einzugeben.
Wiederholen Sie diese Schritte auf allen anderen OpenLDAP-Servern, die für die Replikation verwendet werden.

Aktualisieren Sie den Verwaltungsserver, um das neue Passwort zu verwenden:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Edge-Administratorpasswort manuell festlegen

Unter Edge-Passwörter zurücksetzen wird beschrieben, wie Sie das Edge-Systempasswort ändern. Hierfür müssen Sie jedoch das vorhandene Passwort kennen. Wenn Sie das Edge-Systempasswort verloren haben, können Sie es mit dem folgenden Verfahren zurücksetzen.

Beenden Sie im UI-Knoten die Edge-UI:

/opt/apigee/apigee-service/bin/apigee-service edge-ui stop

Verwenden Sie ldappasswd, um das Edge-Sys-Administratorpasswort festzulegen:
```
ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"
```
Sie werden aufgefordert, das OpenLDAP-Administratorpasswort einzugeben.
Aktualisieren Sie die Konfigurationsdatei, mit der Sie die Edge-Benutzeroberfläche installiert haben, mit dem neuen Edge-Systempasswort:
```
APIGEE_ADMINPW=newPassWord
```

Konfigurieren Sie die Edge-UI und starten Sie sie neu:

/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile

(Nur wenn TLS in der Benutzeroberfläche aktiviert ist) Aktivieren Sie TLS in der Edge-Benutzeroberfläche wieder, wie unter TLS für die Verwaltungs-UI konfigurieren beschrieben.

SLAPD-Sperrdatei löschen

Wenn Sie beim Starten von OpenLDAP die Fehlermeldung erhalten, dass die Sperrdatei slapd.pid vorhanden ist, können Sie die Datei löschen.

Die Datei befindet sich in /opt/apigee/apigee-openldap/var/run/slapd.pid. Löschen Sie die Datei und versuchen Sie, OpenLDAP neu zu starten:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Wenn OpenLDAP nicht gestartet wird, starten Sie es im Debug-Modus und suchen Sie nach Fehlern:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

Fehler können auf Ressourcenprobleme, Arbeitsspeicher- oder CPU-Auslastungsprobleme hinweisen.

OpenLDAP-Replikation ändern

In diesem Abschnitt wird erläutert, wie Sie die OpenLDAP-Replikation ändern.

Führen Sie die Schritte in der folgenden Anleitung auf dem OpenLDAP-Replikattorknoten aus, der seine Daten auf den anderen OpenLDAP-Knoten repliziert. Wenn Sie beispielsweise die Replikation von node1 auf node2 festlegen, führen Sie die Befehle auf node1 aus.

Prüfe den aktuellen Status:

ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

Die Ausgabe sollte in etwa so aussehen:

olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

Erstellen Sie eine Datei repl.lidf und fügen Sie die folgenden Befehle in die Datei ein:

dn: olcDatabase={2}bdb,cn=config
changetype: modify
replace: olcSyncRepl
    olcSyncRepl: rid=001
    provider=ldap://{NEW_HOST}:{PORT}/
    binddn="cn=manager,dc=apigee,dc=com"
    bindmethod=simple
    credentials={PASSWORD}
    searchbase="dc=apigee,dc=com"
    attrs="*,+"
    type=refreshAndPersist
    retry="60 1 300 12 7200 +"
    timeout=1

Achten Sie darauf, die entsprechenden Werte für die folgenden Platzhalter zu ersetzen:

{NEW_HOST}: Der neue OpenLDAP-Host, auf den die Replikation erfolgen soll.
{PORT}: Der OpenLDAP-Port. Der Standardport ist 10389.
{PASSWORD}: das OpenLDAP-Passwort.

Führen Sie den Befehl ldapmodify aus:

ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
    The output should be similar to the following:
    modifying entry "olcDatabase={2}bdb,cn=config"

Replikation prüfen:

ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

Die Ausgabe sollte in etwa so aussehen:

olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

Sie können prüfen, ob die Replikation ordnungsgemäß funktioniert. Dazu lesen und vergleichen Sie den contextCSN-Wert von jedem Server und achten Sie darauf, dass die Werte übereinstimmen.

ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN

Fehlerbehebung bei Problemen mit der OpenLDAP-Replikation

Wenn Ihre Installation mehrere OpenLDAP-Server verwendet, können Sie die Replikationseinstellungen überprüfen, um sicherzustellen, dass diese Server ordnungsgemäß funktionieren.

Achten Sie darauf, dass ldapsearch Daten von jedem OpenLDAP-Server zurückgibt:
```
ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
```
Sie werden aufgefordert, das OpenLDAP-Administratorpasswort einzugeben.
Prüfen Sie die Replikationskonfiguration mithilfe der Datei /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
Das Systempasswort muss auf jedem OpenLDAP-Server identisch sein.
Prüfen Sie die Einstellungen für iptables und den TCP-Wrapper.