Speicherort der Protokolldatei
OpenLDAP-Protokolldateien sind im Verzeichnis /opt/apigee/var/log
enthalten. Diese Dateien können regelmäßig archiviert und entfernt werden, damit sie keinen übermäßigen Speicherplatz belegen. Informationen zum Verwalten, Archivieren und Entfernen von OpenLDAP-Protokollen finden Sie in Abschnitt 19.2 des OpenLDAP-Handbuchs unter http://www.openldap.org/doc/admin24/maintenance.html.
Nutzerpasswort manuell festlegen
Benutzer können in der Edge-Benutzeroberfläche ein neues Edge-Passwort anfordern. Der Nutzer erhält dann eine E-Mail mit Informationen zum Festlegen eines Passworts. Wenn Ihr SMTP-Server jedoch ausgefallen ist oder der Nutzer aus irgendeinem Grund keine E-Mail empfangen kann, können Sie das Passwort des Nutzers mithilfe von OpenLDAP-Befehlen manuell festlegen.
So legen Sie ein Nutzerpasswort fest:
- Verwende
ldapsearch
, um Nutzerinformationen herunterzuladen:ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
- Suchen Sie in der Datei „ldap.txt“ nach der E-Mail-Adresse des Nutzers. Sie sollten einen Block in folgendem Format sehen:
dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com mail: foo@bar.com userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ== uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
- Verwenden Sie
ldappasswd
, um das Passwort des Nutzers anhand der UID des Nutzers festzulegen:ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \ "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"
Sie werden aufgefordert, das OpenLDAP-Administratorpasswort einzugeben.
Der Nutzer kann sich jetzt mit newPassWord anmelden.
OpenLDAP-Systempasswort manuell festlegen
Unter Edge-Passwörter zurücksetzen wird beschrieben, wie Sie das OpenLDAP-Systempasswort ändern. Hierfür müssen Sie jedoch das bestehende Passwort kennen. Wenn Sie dieses Passwort vergessen haben, können Sie es mit den folgenden Schritten zurücksetzen.
- Erstellen Sie mit
slappasswd
das SSHA-verschlüsselte Passwort für ein neues Passwort:slappasswd -h {SSHA} -s newPassWord
Dieser Befehl gibt einen String in der Form
{SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
zurück. - Öffnen Sie die Datei
/opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
in einem Editor:vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
- Suchen Sie die Zeile im Format
olcRootPW:: OldPasswordString
. - Ersetzen Sie OldPasswordString durch den von
slappasswd
zurückgegebenen String. Wenn nacholcRootPw
zwei Doppelpunkte stehen, entferne einen und achte darauf, dass nach dem Doppelpunkt ein Leerzeichen steht:olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
- Starten Sie OpenLDAP neu:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
- Prüfe mit
ldapsearch
, ob dein neues Passwort funktioniert:ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
Sie werden aufgefordert, das OpenLDAP-Administratorpasswort einzugeben.
- Wiederholen Sie diese Schritte auf allen anderen OpenLDAP-Servern, die für die Replikation verwendet werden.
- Aktualisieren Sie den Verwaltungsserver, um das neue Passwort zu verwenden:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord
Edge-Administratorpasswort manuell festlegen
Unter Edge-Passwörter zurücksetzen wird beschrieben, wie Sie das Edge-Systempasswort ändern. Hierfür müssen Sie jedoch das vorhandene Passwort kennen. Wenn Sie das Edge-Systempasswort verloren haben, können Sie es mit dem folgenden Verfahren zurücksetzen.
- Beenden Sie im UI-Knoten die Edge-UI:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- Verwenden Sie
ldappasswd
, um das Edge-Sys-Administratorpasswort festzulegen:ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \ "uid=admin,ou=users,ou=global,dc=apigee,dc=com"
Sie werden aufgefordert, das OpenLDAP-Administratorpasswort einzugeben.
- Aktualisieren Sie die Konfigurationsdatei, mit der Sie die Edge-Benutzeroberfläche installiert haben, mit dem neuen Edge-Systempasswort:
APIGEE_ADMINPW=newPassWord
- Konfigurieren Sie die Edge-UI und starten Sie sie neu:
/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Nur wenn TLS in der Benutzeroberfläche aktiviert ist) Aktivieren Sie TLS in der Edge-Benutzeroberfläche wieder, wie unter TLS für die Verwaltungs-UI konfigurieren beschrieben.
SLAPD-Sperrdatei löschen
Wenn Sie beim Starten von OpenLDAP die Fehlermeldung erhalten, dass die Sperrdatei slapd.pid
vorhanden ist, können Sie die Datei löschen.
Die Datei befindet sich in /opt/apigee/apigee-openldap/var/run/slapd.pid
. Löschen Sie die Datei und versuchen Sie, OpenLDAP neu zu starten:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
Wenn OpenLDAP nicht gestartet wird, starten Sie es im Debug-Modus und suchen Sie nach Fehlern:
slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d
Fehler können auf Ressourcenprobleme, Arbeitsspeicher- oder CPU-Auslastungsprobleme hinweisen.
OpenLDAP-Replikation ändern
In diesem Abschnitt wird erläutert, wie Sie die OpenLDAP-Replikation ändern.
Führen Sie die Schritte in der folgenden Anleitung auf dem OpenLDAP-Replikattorknoten aus, der seine Daten auf den anderen OpenLDAP-Knoten repliziert. Wenn Sie beispielsweise die Replikation von node1 auf node2 festlegen, führen Sie die Befehle auf node1 aus.
- Prüfe den aktuellen Status:
ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl
Die Ausgabe sollte in etwa so aussehen:
olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
- Erstellen Sie eine Datei
repl.lidf
und fügen Sie die folgenden Befehle in die Datei ein:dn: olcDatabase={2}bdb,cn=config changetype: modify replace: olcSyncRepl olcSyncRepl: rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
Achten Sie darauf, die entsprechenden Werte für die folgenden Platzhalter zu ersetzen:
{NEW_HOST}
: Der neue OpenLDAP-Host, auf den die Replikation erfolgen soll.{PORT}
: Der OpenLDAP-Port. Der Standardport ist10389
.{PASSWORD}
: das OpenLDAP-Passwort.
- Führen Sie den Befehl
ldapmodify
aus:ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
The output should be similar to the following:
modifying entry "olcDatabase={2}bdb,cn=config"
- Replikation prüfen:
ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl
Die Ausgabe sollte in etwa so aussehen:
olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
Sie können prüfen, ob die Replikation ordnungsgemäß funktioniert. Dazu lesen und vergleichen Sie den
contextCSN
-Wert von jedem Server und achten Sie darauf, dass die Werte übereinstimmen.ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN
Fehlerbehebung bei Problemen mit der OpenLDAP-Replikation
Wenn Ihre Installation mehrere OpenLDAP-Server verwendet, können Sie die Replikationseinstellungen überprüfen, um sicherzustellen, dass diese Server ordnungsgemäß funktionieren.
- Achten Sie darauf, dass
ldapsearch
Daten von jedem OpenLDAP-Server zurückgibt:ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
Sie werden aufgefordert, das OpenLDAP-Administratorpasswort einzugeben.
- Prüfen Sie die Replikationskonfiguration mithilfe der Datei
/opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
. - Das Systempasswort muss auf jedem OpenLDAP-Server identisch sein.
- Prüfen Sie die Einstellungen für iptables und den TCP-Wrapper.