Localização do arquivo de registros
Os arquivos de registros do OpenLDAP estão no diretório /opt/apigee/var/log
. Esses arquivos podem ser
arquivados e removidos periodicamente para garantir que não ocupem espaço em disco
excessivo. Informações sobre a manutenção, o arquivamento e a remoção de registros do OpenLDAP podem ser encontradas na Seção 19.2 do manual do OpenLDAP em http://www.openldap.org/doc/admin24/maintenance.html.
Definir manualmente a senha de um usuário
Os usuários podem solicitar uma nova senha do Edge na IU do Edge. Em seguida, o usuário recebe um e-mail com informações sobre como configurar uma senha. No entanto, se o servidor SMTP estiver inativo ou o usuário não conseguir receber um e-mail por qualquer motivo, defina a senha do usuário manualmente com comandos OpenLDAP.
Para definir a senha de um usuário:
- Use
ldapsearch
para fazer o download de informações do usuário:ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
- Pesquise o endereço de e-mail do usuário no arquivo ldap.txt. Você verá um bloco no formato:
dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com mail: foo@bar.com userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ== uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
- Use
ldappasswd
para definir a senha do usuário com base no uid:ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \ "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"
Você vai precisar inserir a senha de administrador do OpenLDAP.
Agora o usuário pode fazer login com newPassWord.
Definir manualmente a senha do sistema OpenLDAP
Redefinir senhas do Edge descreve como alterar a senha do sistema OpenLDAP, mas exige que você saiba a senha atual. Se você perdeu essa senha, use o procedimento a seguir para redefini-la.
- Use
slappasswd
para criar a senha criptografada por SSHA para uma nova senha:slappasswd -h {SSHA} -s newPassWord
Esse comando retorna uma string no formato:
{SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
- Abra o arquivo
/opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
em um editor:vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
- Encontre a linha no formulário:
olcRootPW:: OldPasswordString
- Substitua OldPasswordString pela string retornada de
slappasswd
. Se houver dois dois-pontos depois deolcRootPw
, remova um e verifique se há um espaço após os dois-pontos:olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
- Reinicie o OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
- Verifique usando
ldapsearch
se a nova senha funciona:ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
Você vai precisar inserir a senha de administrador do OpenLDAP.
- Repita essas etapas nos outros servidores OpenLDAP usados para replicação.
- Atualize o servidor de gerenciamento para usar a nova senha:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord
Definir manualmente a senha do administrador do Edge
Redefinir senhas de borda descreve como alterar a senha do sistema Edge, mas exige que você saiba a senha atual. Se você perdeu a senha do sistema Edge, use o procedimento a seguir para redefini-la.
- No nó da interface, pare a interface do Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- Use
ldappasswd
para definir a senha de administrador do Edge sys:ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \ "uid=admin,ou=users,ou=global,dc=apigee,dc=com"
Você vai precisar inserir a senha de administrador do OpenLDAP.
- Atualize o arquivo de configuração usado para instalar a interface do Edge com a nova senha do sistema
Edge:
APIGEE_ADMINPW=newPassWord
- Configure e reinicie a interface do Edge:
/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Somente se o TLS estiver ativado na interface) Reative o TLS na interface do Edge, conforme descrito em Como configurar o TLS para a interface de gerenciamento.
Excluir arquivo de bloqueio SLAPD
Se você receber um erro ao tentar iniciar o OpenLDAP que indica o arquivo de bloqueio slapd.pid
, exclua o arquivo.
O arquivo está localizado em /opt/apigee/apigee-openldap/var/run/slapd.pid
. Exclua o
arquivo e tente reiniciar o OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
Se o OpenLDAP não iniciar, tente iniciá-lo no modo de depuração e verifique se há erros:
slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d
Os erros podem apontar para problemas de recursos, memória ou utilização da CPU.
Como modificar a replicação OpenLDAP
Esta seção explica como modificar a replicação OpenLDAP.
Siga as etapas do procedimento a seguir no nó replicador do OpenLDAP, que replica os dados para o outro nó do OpenLDAP. Por exemplo, se você estiver definindo a replicação do node1 para o node2, execute os comandos no node1.
- Verifique o estado atual:
ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl
A saída será semelhante a esta:
olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
- Crie um arquivo
repl.lidf
e cole os seguintes comandos nele:dn: olcDatabase={2}bdb,cn=config changetype: modify replace: olcSyncRepl olcSyncRepl: rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
Substitua o valor adequado para os seguintes marcadores:
{NEW_HOST}
: o novo host OpenLDAP que será replicado.{PORT}
: a porta OpenLDAP. A porta padrão é10389
.{PASSWORD}
: a senha do OpenLDAP.
- Execute o comando
ldapmodify
:ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
The output should be similar to the following:
modifying entry "olcDatabase={2}bdb,cn=config"
- Verificar replicação:
ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl
A saída será semelhante a esta:
olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
É possível verificar se a replicação está funcionando corretamente lendo e comparando o valor
contextCSN
de cada servidor e garantindo que eles correspondam.ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN
Solução de problemas de replicação OpenLDAP
Se a instalação usar vários servidores OpenLDAP, verifique as configurações de replicação para garantir o funcionamento correto.
- Verifique se
ldapsearch
retorna dados de cada servidor OpenLDAP:ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
Você vai precisar inserir a senha de administrador do OpenLDAP.
- Verifique a configuração de replicação examinando o arquivo
/opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
. - Confirme se a senha do sistema é a mesma em cada servidor OpenLDAP.
- Verifique as configurações do iptables e do wrapper tcp.