Эта страница переведена с помощью Cloud Translation API.

Задачи обслуживания OpenLDAP

Местоположение файла журнала

Файлы журналов OpenLDAP содержатся в каталоге /opt/apigee/var/log . Эти файлы можно периодически архивировать и удалять, чтобы они не занимали слишком много места на диске. Информацию о ведении, архивировании и удалении журналов OpenLDAP можно найти в разделе 19.2 руководства OpenLDAP по адресу http://www.openldap.org/doc/admin24/maintenance.html .

Установка пароля пользователя вручную

Пользователи могут запросить новый пароль Edge в пользовательском интерфейсе Edge. Затем пользователь получает электронное письмо с информацией об установке пароля. Однако если ваш SMTP-сервер не работает или пользователь по какой-либо причине не может получить электронное письмо, вы можете вручную установить пароль пользователя с помощью команд OpenLDAP.

Чтобы установить пароль пользователя:

Используйте ldapsearch для загрузки информации о пользователе:

ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt

Найдите в файле ldap.txt адрес электронной почты пользователя. Вы должны увидеть блок вида:

dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc

Используйте ldappasswd чтобы установить пароль пользователя на основе его uid:
```
ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"
```
Вам будет предложено ввести пароль администратора OpenLDAP.

Теперь пользователь может войти в систему с помощью newPassWord .

Установите системный пароль OpenLDAP вручную.

Сброс паролей Edge описывает, как изменить системный пароль OpenLDAP, но требует знания существующего пароля. Если вы потеряли этот пароль, вы можете использовать следующую процедуру для его сброса.

Используйте slappasswd , чтобы создать зашифрованный SSHA пароль для нового пароля:
```
slappasswd -h {SSHA} -s newPassWord
```
Эта команда возвращает строку в виде:
```
{SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
```
Откройте файл /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif в редакторе:
```
vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
```
Найдите строку в форме:
```
olcRootPW:: OldPasswordString
```
Замените OldPasswordString строкой, полученной из slappasswd . Если после olcRootPw есть 2 двоеточия, удалите одно и убедитесь, что после двоеточия есть пробел:
```
olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
```

Перезапустите OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Проверьте с помощью ldapsearch , работает ли ваш новый пароль:
```
ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
```
Вам будет предложено ввести пароль администратора OpenLDAP.
Повторите эти шаги на всех других серверах OpenLDAP, которые используются для репликации.
Обновите сервер управления, чтобы использовать новый пароль:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord
```

Установите пароль администратора Edge вручную.

Сброс паролей Edge описывает, как изменить пароль системы Edge, но требует, чтобы вы знали существующий пароль. Если вы потеряли системный пароль Edge, вы можете использовать следующую процедуру для его сброса.

На узле пользовательского интерфейса остановите пользовательский интерфейс Edge:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
```
Используйте ldappasswd чтобы установить пароль администратора Edge sys:
```
ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"
```
Вам будет предложено ввести пароль администратора OpenLDAP.
Обновите файл конфигурации, который вы использовали для установки пользовательского интерфейса Edge, добавив новый системный пароль Edge:
```
APIGEE_ADMINPW=newPassWord
```
Настройте и перезапустите пользовательский интерфейс Edge:
```
/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
```
(Только если TLS включен в пользовательском интерфейсе) Повторно включите TLS в пользовательском интерфейсе Edge, как описано в разделе Настройка TLS для пользовательского интерфейса управления .

Удалить файл блокировки SLAPD

Если при попытке запуска OpenLDAP вы получите сообщение об ошибке о существовании файла блокировки slapd.pid , вы можете удалить этот файл.

Файл находится в /opt/apigee/apigee-openldap/var/run/slapd.pid . Удалите файл и попробуйте перезапустить OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Если OpenLDAP не запускается, попробуйте запустить его в режиме отладки и проверьте наличие ошибок:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

Ошибки могут указывать на проблемы с ресурсами, памятью или загрузкой ЦП.

Изменение репликации OpenLDAP

В этом разделе объясняется, как изменить репликацию OpenLDAP.

Выполните шаги следующей процедуры на узле репликатора OpenLDAP, который реплицирует свои данные на другой узел OpenLDAP. Например, если вы настраиваете репликацию с узла 1 на узел 2, запустите команды на узле 1.

Проверьте текущее состояние:

ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

Вывод должен быть похож на следующий:

olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

Создайте файл repl.lidf и вставьте в него следующие команды:
```
dn: olcDatabase={2}bdb,cn=config
changetype: modify
replace: olcSyncRepl
    olcSyncRepl: rid=001
    provider=ldap://{NEW_HOST}:{PORT}/
    binddn="cn=manager,dc=apigee,dc=com"
    bindmethod=simple
    credentials={PASSWORD}
    searchbase="dc=apigee,dc=com"
    attrs="*,+"
    type=refreshAndPersist
    retry="60 1 300 12 7200 +"
    timeout=1
```
Обязательно замените подходящее значение для следующих заполнителей:
- {NEW_HOST} : новый хост OpenLDAP, на который вы планируете реплицировать.
- {PORT} : порт OpenLDAP. Порт по умолчанию — 10389 .
- {PASSWORD} : пароль OpenLDAP.

Запустите команду ldapmodify :

ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
    The output should be similar to the following:
    modifying entry "olcDatabase={2}bdb,cn=config"

Проверьте репликацию:

ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

Вывод должен быть похож на следующий:

olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

Вы можете убедиться, что репликация работает правильно, прочитав и сравнив значения contextCSN с каждого сервера и убедившись, что они совпадают.

ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN

Устранение проблем репликации OpenLDAP

Если в вашей установке используется несколько серверов OpenLDAP, вы можете проверить настройки репликации, чтобы убедиться, что эти серверы работают правильно.

Убедитесь, что ldapsearch возвращает данные с каждого сервера OpenLDAP:
```
ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
```
Вам будет предложено ввести пароль администратора OpenLDAP.
Проверьте конфигурацию репликации, изучив файл /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif {2}bdb.ldif.
Убедитесь, что системный пароль одинаков на каждом сервере OpenLDAP.
Проверьте настройки iptables и TCP-оболочки.