Tâches de maintenance OpenLDAP

Emplacement du fichier journal

Les fichiers journaux OpenLDAP se trouvent dans le répertoire /opt/apigee/var/log. Ces fichiers peuvent être régulièrement archivées et supprimées afin de s'assurer qu'elles n'occupent pas un espace disque excessif ; l'espace de stockage. Les informations sur la maintenance, l’archivage et la suppression des journaux OpenLDAP se trouvent dans la section 19.2 du manuel OpenLDAP à l'adresse http://www.openldap.org/doc/admin24/maintenance.html.

Définir manuellement le mot de passe d'un utilisateur

Les utilisateurs peuvent demander un nouveau mot de passe Edge dans l'interface utilisateur Edge. L'utilisateur reçoit alors un e-mail contenant sur la définition d'un mot de passe. Toutefois, si votre serveur SMTP est en panne ou si l'utilisateur ne peut pas recevoir un e-mail pour quelque raison que ce soit, vous pouvez définir manuellement le mot de passe de l’utilisateur en utilisant OpenLDAP commandes.

Pour définir le mot de passe d'un utilisateur:

  1. Utilisez ldapsearch pour télécharger les informations utilisateur: 
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Recherchez l'adresse e-mail de l'utilisateur dans le fichier ldap.txt. Vous devriez voir un bloc au format suivant: 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Utilisez ldappasswd pour définir le mot de passe de l'utilisateur en fonction de son UID: 
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Vous êtes invité à saisir le mot de passe administrateur OpenLDAP.

L'utilisateur peut désormais se connecter en utilisant newPassWord.

Définir manuellement le mot de passe du système OpenLDAP

La section Réinitialiser les mots de passe Edge explique comment modifier les Mot de passe du système OpenLDAP, mais nécessite que vous connaissiez le mot de passe existant. Si vous avez perdu vous pouvez suivre la procédure ci-dessous pour le réinitialiser.

  1. Utilisez slappasswd pour créer le mot de passe chiffré SSHA pour un nouveau mot de passe: 
    slappasswd -h {SSHA} -s newPassWord

    Cette commande renvoie une chaîne au format suivant: 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6

  2. Ouvrir /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif dans un éditeur: 
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Recherchez la ligne dans le formulaire: 
    olcRootPW:: OldPasswordString
  4. Remplacez OldPasswordString par la chaîne renvoyée par slappasswd. S'il y a deux deux-points après olcRootPw, supprimez-en un et assurez-vous qu'il y a un espace après les deux-points: 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Redémarrez OpenLDAP: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Utilisez ldapsearch pour vérifier si votre nouveau mot de passe fonctionne: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Vous êtes invité à saisir le mot de passe administrateur OpenLDAP.

  7. Répétez ces étapes sur tous les autres serveurs OpenLDAP utilisés pour la réplication.
  8. Mettez à jour le serveur de gestion de sorte qu'il utilise le nouveau mot de passe: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Définir manuellement le mot de passe administrateur Edge

La page Réinitialisation des mots de passe Edge explique comment modifier les Mot de passe du système en périphérie, mais vous devez connaître le mot de passe existant. Si vous avez perdu Edge le mot de passe système, vous pouvez suivre la procédure suivante pour le réinitialiser.

  1. Sur le nœud d'interface utilisateur, arrêtez l'interface utilisateur Edge: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Utilisez ldappasswd pour définir le mot de passe d'administrateur système Edge: 
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Vous êtes invité à saisir le mot de passe administrateur OpenLDAP.

  3. Mettez à jour le fichier de configuration que vous avez utilisé pour installer l'interface utilisateur Edge avec le nouveau système Edge mot de passe: 
    APIGEE_ADMINPW=newPassWord
  4. Configurez et redémarrez l'interface utilisateur Edge: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Uniquement si TLS est activé dans l'interface utilisateur) Réactivez TLS sur l'interface utilisateur Edge en tant que décrit dans la section Configuration de TLS pour la gestion l'UI.

Supprimer le fichier de verrouillage SLAPD

Si vous recevez un message d'erreur indiquant que le fichier de verrouillage slapd.pid lors du démarrage d'OpenLDAP existe, vous pouvez le supprimer.

Le fichier se trouve dans /opt/apigee/apigee-openldap/var/run/slapd.pid. Supprimez le et essayez de redémarrer OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Si OpenLDAP ne démarre pas, essayez de le démarrer en mode débogage et recherchez les erreurs:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

Les erreurs peuvent indiquer des problèmes de ressources, de mémoire ou d'utilisation du processeur.

Modifier la réplication OpenLDAP

Cette section explique comment modifier la réplication OpenLDAP.

Suivez les étapes de la procédure suivante sur le nœud du réplicateur OpenLDAP, qui se réplique ses données au un autre nœud OpenLDAP. Par exemple, si vous définissez la réplication de node1 vers node2, exécuter les commandes sur node1.

  1. Vérifiez l'état actuel: 
    ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    La sortie devrait ressembler à ce qui suit :

    olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
  2. Créez un fichier repl.lidf et collez-y les commandes suivantes: 
    dn: olcDatabase={2}bdb,cn=config
changetype: modify
replace: olcSyncRepl
    olcSyncRepl: rid=001
    provider=ldap://{NEW_HOST}:{PORT}/
    binddn="cn=manager,dc=apigee,dc=com"
    bindmethod=simple
    credentials={PASSWORD}
    searchbase="dc=apigee,dc=com"
    attrs="*,+"
    type=refreshAndPersist
    retry="60 1 300 12 7200 +"
    timeout=1

    Veillez à remplacer la valeur appropriée pour les espaces réservés suivants:

    • {NEW_HOST}: nouvel hôte OpenLDAP que vous prévoyez de répliquer
    • {PORT}: port OpenLDAP. Le port par défaut est 10389.
    • {PASSWORD}: mot de passe OpenLDAP.
  3. Exécutez la commande ldapmodify: 
    ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
    
    The output should be similar to the following:
    
    
    modifying entry "olcDatabase={2}bdb,cn=config"
  4. Vérifiez la réplication: 
    ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    Le résultat doit ressembler à ce qui suit: 

    olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

    Vous pouvez vérifier que la réplication fonctionne correctement en lisant et en comparant les contextCSN de chaque serveur et de s'assurer qu'elles correspondent.

    ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN

Résoudre les problèmes de réplication OpenLDAP problèmes

Si votre installation utilise plusieurs serveurs OpenLDAP, vous pouvez vérifier les paramètres de réplication pour s’assurer que leurs serveurs fonctionnent correctement.

  1. Assurez-vous que ldapsearch renvoie les données de chaque serveur OpenLDAP: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Vous êtes invité à saisir le mot de passe administrateur OpenLDAP.

  2. Vérifiez la configuration de la réplication en examinant le /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif .
  3. Assurez-vous que le mot de passe du système est le même sur chaque serveur OpenLDAP.
  4. Vérifiez les paramètres d'iptables et du wrapper tcp.