Местоположение файла журнала
Файлы журналов OpenLDAP содержатся в каталоге /opt/apigee/var/log
. Эти файлы можно периодически архивировать и удалять, чтобы они не занимали слишком много места на диске. Информацию о ведении, архивировании и удалении журналов OpenLDAP можно найти в разделе 19.2 руководства OpenLDAP по адресу http://www.openldap.org/doc/admin24/maintenance.html .
Установка пароля пользователя вручную
Пользователи могут запросить новый пароль Edge в пользовательском интерфейсе Edge. Затем пользователь получает электронное письмо с информацией об установке пароля. Однако если ваш SMTP-сервер не работает или пользователь по какой-либо причине не может получить электронное письмо, вы можете вручную установить пароль пользователя с помощью команд OpenLDAP.
Чтобы установить пароль пользователя:
- Используйте
ldapsearch
для загрузки информации о пользователе:ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
- Найдите в файле ldap.txt адрес электронной почты пользователя. Вы должны увидеть блок вида:
dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com mail: foo@bar.com userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ== uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
- Используйте
ldappasswd
чтобы установить пароль пользователя на основе его uid:ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \ "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"
Вам будет предложено ввести пароль администратора OpenLDAP.
Теперь пользователь может войти в систему с помощью newPassWord .
Установите системный пароль OpenLDAP вручную.
Сброс паролей Edge описывает, как изменить системный пароль OpenLDAP, но требует знания существующего пароля. Если вы потеряли этот пароль, вы можете использовать следующую процедуру для его сброса.
- Используйте
slappasswd
, чтобы создать зашифрованный SSHA пароль для нового пароля:slappasswd -h {SSHA} -s newPassWord
Эта команда возвращает строку в виде:
{SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
- Откройте файл
/opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
в редакторе:vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
- Найдите строку в форме:
olcRootPW:: OldPasswordString
- Замените OldPasswordString строкой, полученной из
slappasswd
. Если послеolcRootPw
есть 2 двоеточия, удалите одно и убедитесь, что после двоеточия есть пробел:olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
- Перезапустите OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
- Проверьте с помощью
ldapsearch
, работает ли ваш новый пароль:ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
Вам будет предложено ввести пароль администратора OpenLDAP.
- Повторите эти шаги на всех других серверах OpenLDAP, которые используются для репликации.
- Обновите сервер управления, чтобы использовать новый пароль:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord
Установите пароль администратора Edge вручную.
Сброс паролей Edge описывает, как изменить пароль системы Edge, но требует, чтобы вы знали существующий пароль. Если вы потеряли системный пароль Edge, вы можете использовать следующую процедуру для его сброса.
- На узле пользовательского интерфейса остановите пользовательский интерфейс Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- Используйте
ldappasswd
чтобы установить пароль администратора Edge sys:ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \ "uid=admin,ou=users,ou=global,dc=apigee,dc=com"
Вам будет предложено ввести пароль администратора OpenLDAP.
- Обновите файл конфигурации, который вы использовали для установки пользовательского интерфейса Edge, добавив новый системный пароль Edge:
APIGEE_ADMINPW=newPassWord
- Настройте и перезапустите пользовательский интерфейс Edge:
/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Только если TLS включен в пользовательском интерфейсе) Повторно включите TLS в пользовательском интерфейсе Edge, как описано в разделе Настройка TLS для пользовательского интерфейса управления .
Удалить файл блокировки SLAPD
Если при попытке запуска OpenLDAP вы получите сообщение об ошибке о существовании файла блокировки slapd.pid
, вы можете удалить этот файл.
Файл находится в /opt/apigee/apigee-openldap/var/run/slapd.pid
. Удалите файл и попробуйте перезапустить OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
Если OpenLDAP не запускается, попробуйте запустить его в режиме отладки и проверьте наличие ошибок:
slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d
Ошибки могут указывать на проблемы с ресурсами, памятью или загрузкой ЦП.
Изменение репликации OpenLDAP
В этом разделе объясняется, как изменить репликацию OpenLDAP.
Выполните шаги следующей процедуры на узле репликатора OpenLDAP, который реплицирует свои данные на другой узел OpenLDAP. Например, если вы настраиваете репликацию с узла 1 на узел 2, запустите команды на узле 1.
- Проверьте текущее состояние:
ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl
Вывод должен быть похож на следующий:
olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
- Создайте файл
repl.lidf
и вставьте в него следующие команды:dn: olcDatabase={2}bdb,cn=config changetype: modify replace: olcSyncRepl olcSyncRepl: rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
Обязательно замените подходящее значение для следующих заполнителей:
-
{NEW_HOST}
: новый хост OpenLDAP, на который вы планируете реплицировать. -
{PORT}
: порт OpenLDAP. Порт по умолчанию —10389
. -
{PASSWORD}
: пароль OpenLDAP.
-
- Запустите команду
ldapmodify
:ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
The output should be similar to the following:
modifying entry "olcDatabase={2}bdb,cn=config"
- Проверьте репликацию:
ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl
Вывод должен быть похож на следующий:
olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
Вы можете убедиться, что репликация работает правильно, прочитав и сравнив значения
contextCSN
с каждого сервера и убедившись, что они совпадают.ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN
Устранение проблем репликации OpenLDAP
Если в вашей установке используется несколько серверов OpenLDAP, вы можете проверить настройки репликации, чтобы убедиться, что эти серверы работают правильно.
- Убедитесь, что
ldapsearch
возвращает данные с каждого сервера OpenLDAP:ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
Вам будет предложено ввести пароль администратора OpenLDAP.
- Проверьте конфигурацию репликации, изучив файл
/opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
{2}bdb.ldif. - Убедитесь, что системный пароль одинаков на каждом сервере OpenLDAP.
- Проверьте настройки iptables и TCP-оболочки.