Trang này được dịch bởi Cloud Translation API.

Tác vụ bảo trì OpenLDAP

Vị trí tệp nhật ký

Các tệp nhật ký OpenLDAP có trong thư mục /opt/apigee/var/log. Những tệp này có thể được lưu trữ và xoá định kỳ để đảm bảo rằng chúng không chiếm quá nhiều ổ đĩa . Bạn có thể tìm thấy thông tin về việc duy trì, lưu trữ và xóa nhật ký OpenLDAP trong Phần 19.2 của hướng dẫn OpenLDAP tại http://www.openldap.org/doc/admin24/maintenance.html.

Đặt mật khẩu của người dùng theo cách thủ công

Người dùng có thể yêu cầu mật khẩu mới cho Edge trong giao diện người dùng Edge. Sau đó, người dùng sẽ nhận được email kèm theo thông tin về cách đặt mật khẩu. Tuy nhiên, nếu máy chủ SMTP của bạn không hoạt động hoặc người dùng không thể nhận được email vì bất kỳ lý do gì, bạn có thể đặt mật khẩu của người dùng theo cách thủ công bằng cách sử dụng OpenLDAP các lệnh.

Cách đặt mật khẩu của người dùng:

Sử dụng ldapsearch để tải thông tin người dùng xuống:

ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt

Tìm địa chỉ email của người dùng trong tệp ldap.txt. Bạn sẽ thấy một khối trong biểu mẫu:

dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc

Sử dụng ldappasswd để đặt mật khẩu của người dùng dựa trên uid của người dùng:
```
ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"
```
Bạn được nhắc nhập mật khẩu quản trị viên OpenLDAP.

Người dùng hiện có thể đăng nhập bằng cách sử dụng newPassWord.

Đặt mật khẩu hệ thống OpenLDAP theo cách thủ công

Đặt lại mật khẩu Edge mô tả cách thay đổi Mật khẩu hệ thống OpenLDAP nhưng yêu cầu bạn biết mật khẩu hiện có. Nếu bạn bị mất , bạn có thể làm theo quy trình sau đây để đặt lại mật khẩu.

Sử dụng slappasswd để tạo mật khẩu được mã hoá SSHA cho một mật khẩu mới:
```
slappasswd -h {SSHA} -s newPassWord
```
Lệnh này trả về một chuỗi có dạng:
```
{SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
```
Mở /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif trong trình chỉnh sửa:
```
vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
```
Tìm dòng trong biểu mẫu:
```
olcRootPW:: OldPasswordString
```
Thay thế OldPasswordString bằng chuỗi được trả về từ slappasswd. Nếu có 2 dấu hai chấm sau olcRootPw, hãy xoá một dấu hai chấm và đảm bảo còn dấu cách sau dấu hai chấm:
```
olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
```

Khởi động lại OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Kiểm tra bằng ldapsearch xem mật khẩu mới có hoạt động hay không:
```
ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
```
Bạn được nhắc nhập mật khẩu quản trị viên OpenLDAP.
Lặp lại các bước này trên bất kỳ máy chủ OpenLDAP khác đang được sử dụng để sao chép.

Cập nhật Máy chủ quản lý để sử dụng mật khẩu mới:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Đặt mật khẩu của quản trị viên Edge theo cách thủ công

Đặt lại mật khẩu Edge mô tả cách thay đổi Mật khẩu hệ thống Edge nhưng yêu cầu bạn biết mật khẩu hiện tại. Nếu bạn mất Edge mật khẩu hệ thống, bạn có thể làm theo quy trình sau để đặt lại mật khẩu.

Trên nút giao diện người dùng, hãy dừng giao diện người dùng Edge:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
```
Sử dụng ldappasswd để đặt mật khẩu quản trị viên hệ thống của Edge:
```
ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"
```
Bạn được nhắc nhập mật khẩu quản trị viên OpenLDAP.
Cập nhật tệp cấu hình mà bạn đã dùng để cài đặt giao diện người dùng Edge bằng hệ thống Edge mới mật khẩu:
```
APIGEE_ADMINPW=newPassWord
```
Định cấu hình và khởi động lại giao diện người dùng Edge:
```
/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
```
(Chỉ khi TLS được bật trên giao diện người dùng) Bật lại TLS trên giao diện người dùng Edge bằng được mô tả trong Định cấu hình TLS cho hoạt động quản lý Giao diện người dùng.

Xoá tệp khoá SLAPD

Nếu bạn gặp lỗi khi cố khởi động OpenLDAP trong đó tệp khoá slapd.pid đã tồn tại, bạn có thể xoá tệp.

Tệp nằm trong /opt/apigee/apigee-openldap/var/run/slapd.pid. Xoá và cố khởi động lại OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Nếu OpenLDAP không khởi động, hãy thử khởi động ở chế độ gỡ lỗi và kiểm tra lỗi:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

Lỗi có thể cho thấy vấn đề về tài nguyên, vấn đề về bộ nhớ hoặc mức sử dụng CPU.

Sửa đổi bản sao OpenLDAP

Phần này giải thích cách sửa đổi bản sao OpenLDAP.

Thực hiện các bước trong quy trình sau trên nút trình sao chép OpenLDAP, nút này sẽ được sao chép dữ liệu của mình vào nút OpenLDAP khác. Ví dụ: nếu bạn đang thiết lập sao chép từ nút 1 đến nút 2, chạy các lệnh trênnode1.

Kiểm tra trạng thái hiện tại:

ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

Kết quả sẽ tương tự như kết quả sau:

olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

Tạo một tệp repl.lidf rồi dán các lệnh sau vào tệp đó:

dn: olcDatabase={2}bdb,cn=config
changetype: modify
replace: olcSyncRepl
    olcSyncRepl: rid=001
    provider=ldap://{NEW_HOST}:{PORT}/
    binddn="cn=manager,dc=apigee,dc=com"
    bindmethod=simple
    credentials={PASSWORD}
    searchbase="dc=apigee,dc=com"
    attrs="*,+"
    type=refreshAndPersist
    retry="60 1 300 12 7200 +"
    timeout=1

Đảm bảo bạn thay thế giá trị thích hợp cho các phần giữ chỗ sau:

{NEW_HOST}: Máy chủ OpenLDAP mới mà bạn đang dự định sao chép vào.
{PORT}: Cổng OpenLDAP. Cổng mặc định là 10389.
{PASSWORD}: Mật khẩu OpenLDAP.

Chạy lệnh ldapmodify:

ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
    The output should be similar to the following:
    modifying entry "olcDatabase={2}bdb,cn=config"

Xác minh bản sao:

ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

Kết quả sẽ tương tự như kết quả sau:

olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

Bạn có thể xác minh rằng tính năng sao chép đang hoạt động chính xác bằng cách đọc và so sánh contextCSN từ mỗi máy chủ và đảm bảo rằng những thông tin này khớp với nhau.

ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN

Khắc phục sự cố sao chép OpenLDAP bài tập

Nếu bản cài đặt của bạn sử dụng nhiều máy chủ OpenLDAP, bạn có thể kiểm tra cài đặt sao chép để để đảm bảo rằng các máy chủ hoạt động đúng cách.

Đảm bảo rằng ldapsearch trả về dữ liệu từ mỗi máy chủ OpenLDAP:
```
ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
```
Bạn được nhắc nhập mật khẩu quản trị viên OpenLDAP.
Kiểm tra cấu hình sao chép bằng cách kiểm tra /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif .
Đảm bảo mật khẩu hệ thống trên mỗi máy chủ OpenLDAP đều giống nhau.
Kiểm tra chế độ cài đặt trình bao bọc iptable và tcp.