Trang này được dịch bởi Cloud Translation API.

Tác vụ bảo trì OpenLDAP

Vị trí tệp nhật ký

Các tệp nhật ký Open LDAP nằm trong thư mục /opt/apigee/var/log. Các tệp này có thể được lưu trữ và xoá định kỳ để đảm bảo không chiếm quá nhiều dung lượng ổ đĩa. Bạn có thể xem thông tin về cách duy trì, lưu trữ và xoá nhật ký OpenLDAP trong Phần 19.2 của tài liệu hướng dẫn về OpenLDAP tại http://www.openldap.org/doc/admin24/maintenance.html.

Đặt mật khẩu của người dùng theo cách thủ công

Người dùng có thể yêu cầu mật khẩu Edge mới trong giao diện người dùng Edge. Sau đó, người dùng sẽ nhận được một email chứa thông tin về cách đặt mật khẩu. Tuy nhiên, nếu máy chủ SMTP của bạn bị gián đoạn hoặc người dùng không thể nhận email vì bất kỳ lý do gì, bạn có thể đặt mật khẩu của người dùng theo cách thủ công bằng cách dùng lệnh Open LDAP.

Cách đặt mật khẩu của người dùng:

Sử dụng ldapsearch để tải thông tin người dùng xuống:

ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt

Tìm kiếm địa chỉ email của người dùng trong tệp ldap.txt. Bạn sẽ thấy một khối trong biểu mẫu:

dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc

Sử dụng ldappasswd để đặt mật khẩu của người dùng dựa trên uid của người dùng:
```
ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"
```
Bạn được nhắc nhập mật khẩu quản trị viên OpenLDAP.

Người dùng hiện có thể đăng nhập bằng newPassWord.

Đặt mật khẩu hệ thống Open LDAP theo cách thủ công

Đặt lại mật khẩu Edge mô tả cách thay đổi mật khẩu hệ thống Open LDAP nhưng yêu cầu bạn phải biết mật khẩu hiện tại. Nếu đã mất mật khẩu đó, bạn có thể sử dụng quy trình sau để đặt lại.

Sử dụng slappasswd để tạo mật khẩu đã mã hoá SSHA cho mật khẩu mới:
```
slappasswd -h {SSHA} -s newPassWord
```
Lệnh này trả về một chuỗi có dạng:
```
{SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
```
Mở tệp /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif trong trình chỉnh sửa:
```
vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
```
Tìm dòng lệnh trong biểu mẫu:
```
olcRootPW:: OldPasswordString
```
Thay thế OldPasswordString bằng chuỗi được trả về từ slappasswd. Nếu có 2 dấu hai chấm sau olcRootPw, hãy xoá một dấu hai chấm và đảm bảo có một dấu cách sau dấu hai chấm:
```
olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
```

Khởi động lại OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Kiểm tra bằng ldapsearch xem mật khẩu mới của bạn có hoạt động hay không:
```
ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
```
Bạn được nhắc nhập mật khẩu quản trị viên OpenLDAP.
Lặp lại các bước này trên bất kỳ máy chủ Open LDAP nào khác đang được dùng để sao chép.

Cập nhật Máy chủ quản lý để sử dụng mật khẩu mới:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Đặt mật khẩu quản trị viên Edge theo cách thủ công

Đặt lại mật khẩu Edge mô tả cách thay đổi mật khẩu hệ thống của Edge nhưng yêu cầu bạn phải biết mật khẩu hiện tại. Nếu mất mật khẩu hệ thống của Edge, bạn có thể làm theo quy trình sau để đặt lại.

Trên nút giao diện người dùng, dừng giao diện người dùng Edge:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
```
Dùng ldappasswd để đặt mật khẩu quản trị viên hệ thống của Edge:
```
ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"
```
Bạn được nhắc nhập mật khẩu quản trị viên OpenLDAP.
Cập nhật tệp cấu hình mà bạn đã dùng để cài đặt giao diện người dùng Edge bằng mật khẩu hệ thống Edge mới:
```
APIGEE_ADMINPW=newPassWord
```
Định cấu hình và khởi động lại giao diện người dùng Edge:
```
/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
```
(Chỉ khi TLS được bật trên giao diện người dùng) Bật lại TLS trên giao diện người dùng Edge như mô tả trong bài viết Định cấu hình TLS cho giao diện người dùng quản lý.

Xoá tệp khoá SLAPD

Nếu gặp lỗi khi cố gắng khởi động Open LDAP nhưng tệp khoá slapd.pid tồn tại, thì bạn có thể xoá tệp này.

Tệp này nằm trong /opt/apigee/apigee-openldap/var/run/slapd.pid. Xoá tệp và cố khởi động lại OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Nếu OpenLDAP không khởi động, hãy thử khởi động ở chế độ gỡ lỗi và kiểm tra lỗi:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

Lỗi có thể là do vấn đề về tài nguyên, bộ nhớ hoặc mức sử dụng CPU.

Sửa đổi cơ chế sao chép Open LDAP

Phần này giải thích cách sửa đổi tái tạo OpenLDAP.

Thực hiện các bước trong quy trình sau trên nút sao chép OpenLDAP. Nút này sẽ sao chép dữ liệu sang nút OpenLDAP khác. Ví dụ: nếu bạn đang thiết lập bản sao từ nút 1 đến nút 2, hãy chạy các lệnh trên nút 1.

Kiểm tra trạng thái hiện tại:

ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

Kết quả sẽ tương tự như kết quả sau:

olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

Tạo một tệp repl.lidf rồi dán các lệnh sau vào tệp đó:

dn: olcDatabase={2}bdb,cn=config
changetype: modify
replace: olcSyncRepl
    olcSyncRepl: rid=001
    provider=ldap://{NEW_HOST}:{PORT}/
    binddn="cn=manager,dc=apigee,dc=com"
    bindmethod=simple
    credentials={PASSWORD}
    searchbase="dc=apigee,dc=com"
    attrs="*,+"
    type=refreshAndPersist
    retry="60 1 300 12 7200 +"
    timeout=1

Đảm bảo bạn thay thế giá trị thích hợp cho các phần giữ chỗ sau:

{NEW_HOST}: Máy chủ lưu trữ OpenLDAP mới mà bạn định sao chép vào.
{PORT}: Cổng Open LDAP. Cổng mặc định là 10389.
{PASSWORD}: Mật khẩu Open LDAP.

Chạy lệnh ldapmodify:

ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
    The output should be similar to the following:
    modifying entry "olcDatabase={2}bdb,cn=config"

Xác minh bản sao:

ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

Kết quả sẽ tương tự như kết quả sau:

olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

Bạn có thể xác minh rằng tính năng sao chép đang hoạt động chính xác bằng cách đọc và so sánh giá trị contextCSN từ mỗi máy chủ và đảm bảo rằng các giá trị đó khớp với nhau.

ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN

Khắc phục sự cố sao chép Open LDAP

Nếu quá trình cài đặt sử dụng nhiều máy chủ OpenLDAP, bạn có thể kiểm tra chế độ cài đặt sao chép để đảm bảo máy chủ của các máy chủ đó đang hoạt động đúng cách.

Đảm bảo rằng ldapsearch trả về dữ liệu từ mỗi máy chủ OpenLDAP:
```
ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
```
Bạn được nhắc nhập mật khẩu quản trị viên OpenLDAP.
Kiểm tra cấu hình sao chép bằng cách kiểm tra tệp /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif.
Đảm bảo rằng mật khẩu hệ thống trên mỗi máy chủ OpenLDAP đều giống nhau.
Kiểm tra chế độ cài đặt trình bao bọc iptables và tcp.