Lokalizacja pliku dziennika
Pliki dziennika OpenLDAP znajdują się w katalogu /opt/apigee/var/log
. Pliki te można okresowo archiwizować i usuwać, aby nie zajmowały zbyt dużo miejsca na dysku. Informacje o obsłudze, archiwizowaniu i usuwaniu dzienników OpenLDAP można znaleźć w sekcji 19.2 podręcznika OpenLDAP na stronie http://www.openldap.org/doc/admin24/maintenance.html.
Ręczne ustawianie hasła użytkownika
Użytkownicy mogą poprosić o nowe hasło do przeglądarki Edge w interfejsie użytkownika Edge. Następnie użytkownik otrzymuje e-maila z informacjami o ustawieniu hasła. Jeśli jednak serwer SMTP jest niedostępny lub użytkownik z jakiegoś powodu nie może odebrać e-maila, możesz ręcznie ustawić hasło użytkownika przy użyciu poleceń OpenLDAP.
Aby ustawić hasło użytkownika:
- Użyj narzędzia
ldapsearch
, aby pobrać informacje o użytkowniku:ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
- W pliku ldap.txt wyszukaj adres e-mail użytkownika. Powinien on mieć postać:
dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com mail: foo@bar.com userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ== uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
- Użyj polecenia
ldappasswd
, aby ustawić hasło użytkownika na podstawie jego identyfikatora:ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \ "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"
Pojawi się prośba o podanie hasła administratora OpenLDAP.
Użytkownik może teraz logować się przy użyciu funkcji newPassWord.
Ręcznie ustaw hasło systemowe OpenLDAP
W artykule Resetowanie haseł Edge opisano, jak zmienić hasło systemowe OpenLDAP, ale wymaga ono znajomości istniejącego hasła. Jeśli nie pamiętasz hasła, możesz je zresetować w podany niżej sposób.
- Użyj
slappasswd
, aby utworzyć zaszyfrowane hasło SSHA dla nowego hasła:slappasswd -h {SSHA} -s newPassWord
To polecenie zwraca ciąg znaków w formacie:
{SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
- Otwórz plik
/opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
w edytorze:vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
- Znajdź wiersz w formularzu:
olcRootPW:: OldPasswordString
- Zastąp OldPasswordString ciągiem zwróconym przez
slappasswd
. Jeśli poolcRootPw
znajdują się 2 dwukropki, usuń jeden z nich, upewniając się, że po dwukropku jest spacja:olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
- Uruchom ponownie OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
- Użyj adresu
ldapsearch
, aby sprawdzić, czy nowe hasło działa:ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
Pojawi się prośba o podanie hasła administratora OpenLDAP.
- Powtórz te czynności na wszystkich innych serwerach OpenLDAP używanych do replikacji.
- Zaktualizuj serwer zarządzania, aby używać nowego hasła:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord
Ręczne ustawianie hasła administratora Edge
Artykuł Resetowanie haseł brzegowych zawiera instrukcje zmiany hasła systemu Edge, ale wymaga znajomości istniejącego hasła. Jeśli nie pamiętasz hasła do systemu Edge, możesz je zresetować w podany niżej sposób.
- W węźle UI zatrzymaj interfejs Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- Użyj
ldappasswd
, aby ustawić hasło administratora Edge sys:ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \ "uid=admin,ou=users,ou=global,dc=apigee,dc=com"
Pojawi się prośba o podanie hasła administratora OpenLDAP.
- Zaktualizuj plik konfiguracji użyty do zainstalowania interfejsu Edge przy użyciu nowego hasła do systemu Edge:
APIGEE_ADMINPW=newPassWord
- Skonfiguruj i ponownie uruchom interfejs Edge:
/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Tylko wtedy, gdy protokół TLS jest włączony w interfejsie) Włącz ponownie protokół TLS w interfejsie użytkownika Edge zgodnie z opisem w artykule Konfigurowanie protokołu TLS w interfejsie zarządzania.
Usuń plik blokady SLAPD
Jeśli podczas próby uruchomienia OpenLDAP pojawi się błąd związany z istnieniem pliku blokady slapd.pid
, możesz usunąć ten plik.
Plik znajduje się w folderze /opt/apigee/apigee-openldap/var/run/slapd.pid
. Usuń plik i spróbuj ponownie uruchomić OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
Jeśli OpenLDAP się nie uruchomi, spróbuj uruchomić go w trybie debugowania i sprawdź, czy nie występują błędy:
slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d
Błędy mogą wskazywać na problemy z zasobami, pamięcią lub wykorzystaniem procesora.
Modyfikowanie replikacji OpenLDAP
W tej sekcji dowiesz się, jak zmodyfikować replikację OpenLDAP.
Wykonaj czynności opisane poniżej w węźle replikacji OpenLDAP, który replikuje swoje dane do innego węzła OpenLDAP. Jeśli na przykład ustawiasz replikację z węzła 1 do węzła 2, uruchom polecenia w węźle 1.
- Sprawdź obecny stan:
ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl
Dane wyjściowe powinny być podobne do tych:
olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
- Utwórz plik
repl.lidf
i wklej do niego te polecenia:dn: olcDatabase={2}bdb,cn=config changetype: modify replace: olcSyncRepl olcSyncRepl: rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
Pamiętaj, aby zastąpić odpowiednią wartość tych obiektów zastępczych:
{NEW_HOST}
: nowy host OpenLDAP, do którego chcesz utworzyć replikację.{PORT}
: port OpenLDAP. Domyślny port to10389
.{PASSWORD}
: hasło do OpenLDAP.
- Uruchom polecenie
ldapmodify
:ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
The output should be similar to the following:
modifying entry "olcDatabase={2}bdb,cn=config"
- Sprawdź replikację:
ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl
Dane wyjściowe powinny wyglądać mniej więcej tak:
olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
Możesz sprawdzić, czy replikacja działa prawidłowo, odczytując i porównując wartość
contextCSN
z każdego serwera i sprawdzając, czy są one zgodne.ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN
Rozwiązywanie problemów z replikacją OpenLDAP
Jeśli Twoja instalacja używa wielu serwerów OpenLDAP, możesz sprawdzić ustawienia replikacji, aby upewnić się, że wszystkie działają prawidłowo.
- Sprawdź, czy
ldapsearch
zwraca dane z każdego serwera OpenLDAP:ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
Pojawi się prośba o podanie hasła administratora OpenLDAP.
- Sprawdź konfigurację replikacji, sprawdzając plik
/opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
. - Upewnij się, że hasło systemowe na każdym serwerze OpenLDAP jest takie samo.
- Sprawdź ustawienia plików iptables i tcp.