Zadania konserwacji OpenLDAP

Lokalizacja pliku dziennika

Pliki dziennika OpenLDAP znajdują się w katalogu /opt/apigee/var/log. Pliki te mogą być okresowo archiwizowane i usuwane, aby nie zajmowały nadmiernego miejsca na dysku. kosmosu. Informacje o utrzymaniu, archiwizowaniu i usuwaniu logów OpenLDAP znajdziesz w sekcji 19.2 podręcznika obsługi protokołu OpenLDAP dostępnego na stronie http://www.openldap.org/doc/admin24/maintenance.html.

Ręczne ustawianie hasła użytkownika

Użytkownik może poprosić o nowe hasło do Edge w interfejsie Edge. Następnie użytkownik otrzyma e-maila z: jak ustawić hasło. Jeśli jednak Twój serwer SMTP nie będzie działać lub użytkownik nie będzie mógł otrzymasz e-maila z dowolnego powodu, możesz ręcznie ustawić hasło użytkownika za pomocą OpenLDAP. poleceń.

Aby ustawić hasło użytkownika:

  1. Użyj pliku ldapsearch do pobrania informacji o użytkownikach:
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Wyszukaj w pliku ldap.txt adres e-mail użytkownika. Blok powinien pojawić się w formularzu:
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
    mail: foo@bar.com
    userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
    uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Użyj metody ldappasswd, aby ustawić hasło użytkownika na podstawie jego identyfikatora UID:
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
      "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

Użytkownik może teraz logować się za pomocą newPassWord.

Ręcznie ustaw hasło systemowe OpenLDAP

Resetowanie haseł brzegowych zawiera informacje o tym, jak zmienić Hasło systemowe OpenLDAP, ale wymaga znajomości istniejącego hasła. Jeśli nie możesz znaleźć tego kodu hasła, możesz je zresetować w opisany poniżej sposób.

  1. Użyj kodu slappasswd, aby utworzyć nowe hasło zaszyfrowane za pomocą SSHA:
    slappasswd -h {SSHA} -s newPassWord

    To polecenie zwraca ciąg znaków w formacie:

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
  2. Otwórz: /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif w edytorze:
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Znajdź ten wiersz w formularzu:
    olcRootPW:: OldPasswordString
  4. Zastąp OldPasswordString ciągiem znaków zwróconym przez funkcję slappasswd. Jeśli po olcRootPw są 2 dwukropki, usuń jeden z nich i upewnij się, że jest spację. po dwukropku:
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Ponownie uruchom OpenLDAP:
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Sprawdź, czy nowe hasło działa: ldapsearch:
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

  7. Powtórz te kroki na wszystkich innych serwerach OpenLDAP używanych do replikacji.
  8. Zaktualizuj serwer zarządzania, aby używał nowego hasła:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Ręcznie ustaw hasło administratora Edge

W artykule Resetowanie haseł do brzegu dowiesz się, jak zmienić Hasło systemu brzegowego wymaga znajomości istniejącego hasła. Jeśli zgubisz urządzenie Edge hasła systemowego, możesz je zresetować, postępując zgodnie z poniższą procedurą.

  1. W węźle UI zatrzymaj interfejs Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Użyj kodu ldappasswd, aby ustawić hasło administratora serwera Edge:
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
      "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

  3. Zaktualizuj plik konfiguracyjny użyty do zainstalowania interfejsu Edge z nowym systemem Edge hasło:
    APIGEE_ADMINPW=newPassWord
  4. Skonfiguruj i ponownie uruchom interfejs Edge:
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Tylko jeśli protokół TLS jest włączony w UI) Włącz go ponownie w interfejsie Edge jako opisane w artykule Konfigurowanie TLS na potrzeby zarządzania

Usuń plik blokady SLAPD

Jeśli podczas próby uruchomienia OpenLDAP pojawi się błąd, oznacza to, że slapd.pid blokuje plik istnieje, możesz usunąć plik.

Plik znajduje się w folderze /opt/apigee/apigee-openldap/var/run/slapd.pid. Usuń i spróbuj ponownie uruchomić OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Jeśli OpenLDAP się nie uruchomi, uruchom go w trybie debugowania i sprawdź, czy nie występują błędy:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

Błędy mogą wskazywać na problemy z zasobami, pamięcią lub wykorzystaniem procesora.

Modyfikowanie replikacji OpenLDAP

Ta sekcja wyjaśnia, jak zmodyfikować replikację OpenLDAP.

Wykonaj czynności opisane poniżej na węźle replikatora OpenLDAP, który replikuje dane swoje dane do innego węzła OpenLDAP. Jeśli na przykład ustawiasz replikację z węzła 1 do węzła 2, i uruchamiasz polecenia w węźle 1.

  1. Sprawdź obecny stan:
    ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    Dane wyjściowe powinny być podobne do tych:

    olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
  2. Utwórz plik repl.lidf i wklej do niego te polecenia:
    dn: olcDatabase={2}bdb,cn=config
    changetype: modify
    replace: olcSyncRepl
        olcSyncRepl: rid=001
        provider=ldap://{NEW_HOST}:{PORT}/
        binddn="cn=manager,dc=apigee,dc=com"
        bindmethod=simple
        credentials={PASSWORD}
        searchbase="dc=apigee,dc=com"
        attrs="*,+"
        type=refreshAndPersist
        retry="60 1 300 12 7200 +"
        timeout=1

    Pamiętaj, aby zastąpić odpowiednie wartości tych zmiennych:

    • {NEW_HOST}: nowy host OpenLDAP, do którego planujesz replikację.
    • {PORT}: port OpenLDAP. Port domyślny to 10389.
    • {PASSWORD}: hasło do katalogu OpenLDAP.
  3. Uruchom polecenie ldapmodify:
    ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
        

    The output should be similar to the following:

    modifying entry "olcDatabase={2}bdb,cn=config"
  4. Sprawdź replikację:
    ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    Dane wyjściowe powinny być podobne do tych:

    olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

    Aby sprawdzić, czy replikacja działa prawidłowo, przeczytaj i porównaj wartości contextCSN z każdego serwera i zapewniając ich zgodność.

    ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN

Rozwiązywanie problemów z replikacją OpenLDAP problemy

Jeśli Twoja instalacja używa wielu serwerów OpenLDAP, możesz sprawdzić ustawienia replikacji, aby zapewnić prawidłowe działanie serwerów.

  1. Sprawdź, czy ldapsearch zwraca dane z każdego serwera OpenLDAP:
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Pojawi się prośba o podanie hasła administratora OpenLDAP.

  2. Sprawdź konfigurację replikacji, sprawdzając /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif .
  3. Upewnij się, że hasło systemowe na każdym serwerze OpenLDAP jest takie samo.
  4. Sprawdź ustawienia adresów IP i kodu tcp.