Posizione file di log
I file di log OpenLDAP sono contenuti nella directory /opt/apigee/var/log. Questi file possono essere
periodicamente archiviati e rimossi per fare in modo che non occupino troppo disco
spazio. Le informazioni sulla manutenzione, archiviazione e rimozione dei log OpenLDAP sono disponibili nella Sezione X.
19.2 del manuale OpenLDAP all'indirizzo http://www.openldap.org/doc/admin24/maintenance.html.
Impostare manualmente la password di un utente
Gli utenti possono richiedere una nuova password Edge nell'interfaccia utente di Edge. L'utente riceve quindi un'email con informazioni sull'impostazione di una password. Tuttavia, se il server SMTP non è attivo o l'utente non può ricevi un'e-mail per qualsiasi motivo, puoi impostare manualmente la password dell'utente utilizzando OpenLDAP tramite comandi SQL.
Per impostare la password di un utente:
- Utilizza
ldapsearchper scaricare le informazioni utente:ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
- Cerca l'indirizzo email dell'utente nel file ldap.txt. Dovresti vedere un blocco nel modulo:
dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com mail: foo@bar.com userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ== uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
- Usa
ldappasswdper impostare la password dell'utente in base all'uid dell'utente:ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \ "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"
Ti viene richiesta la password di amministratore OpenLDAP.
Ora l'utente può accedere utilizzando newPassWord.
Impostare manualmente la password di sistema OpenLDAP
La sezione Reimpostazione delle password Edge descrive come modificare le Password di sistema OpenLDAP, ma è necessario conoscere la password esistente. Se l'hai perso puoi utilizzare la procedura seguente per reimpostarla.
- Usa
slappasswdper creare la password criptata tramite SSHA per una nuova password:slappasswd -h {SSHA} -s newPassWordIl comando seguente restituisce una stringa nel formato:
{SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6 - Apri
/opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldifin un editor:vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif - Trova la riga nel modulo:
olcRootPW:: OldPasswordString
- Sostituisci OldPasswordString con la stringa restituita da
slappasswd. Se sono presenti due due punti dopoolcRootPw, rimuovine uno e assicurati che sia presente uno spazio dopo i due punti:olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw - Riavvia OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
- Controlla tramite
ldapsearchse la nuova password funziona:ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
Ti viene richiesta la password di amministratore OpenLDAP.
- Ripeti questi passaggi su tutti gli altri server OpenLDAP utilizzati per la replica.
- Aggiorna il server di gestione per utilizzare la nuova password:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord
Imposta manualmente la password di amministratore perimetrale
Reimpostazione delle password Edge descrive come modificare le Password del sistema perimetrale ma occorre conoscere la password esistente. Se hai perso Edge password di sistema, puoi utilizzare la seguente procedura per reimpostarla.
- Sul nodo UI, arresta la UI Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui stop
- Utilizza
ldappasswdper impostare la password dell'amministratore di sistema Edge:ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \ "uid=admin,ou=users,ou=global,dc=apigee,dc=com"
Ti viene richiesta la password di amministratore OpenLDAP.
- Aggiorna il file di configurazione utilizzato per installare la UI Edge con il nuovo sistema Edge
password:
APIGEE_ADMINPW=newPassWord
- Configura e riavvia la UI Edge:
/opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
- (Solo se il protocollo TLS è abilitato nell'interfaccia utente) Riattiva TLS nell'interfaccia utente perimetrale come descritto in Configurazione di TLS per la gestione Interfaccia utente.
Elimina file di blocco SLAPD
Se quando tenti di avviare OpenLDAP ricevi un messaggio di errore che indica che il file slapd.pid blocca il file
esiste, puoi eliminare il file.
Il file si trova nel percorso /opt/apigee/apigee-openldap/var/run/slapd.pid. Elimina il
e prova a riavviare OpenLDAP:
/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
Se OpenLDAP non si avvia, prova ad avviarlo in modalità di debug e verifica che non ci siano errori:
slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d
Gli errori possono rimandare a problemi relativi alle risorse, alla memoria o all'utilizzo della CPU.
Modifica della replica OpenLDAP in corso...
Questa sezione spiega come modificare la replica OpenLDAP.
Esegui i passaggi della procedura seguente sul nodo del replicatore OpenLDAP, che replica che contiene i suoi dati da un altro nodo OpenLDAP. Ad esempio, se imposti la replica da node1 a node2, dei comandi su node1.
- Controlla lo stato attuale:
ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncreplL'output dovrebbe essere simile al seguente:
olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1 - Crea il file
repl.lidfe incolla i comandi seguenti:dn: olcDatabase={2}bdb,cn=config changetype: modify replace: olcSyncRepl olcSyncRepl: rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1Assicurati di sostituire il valore appropriato per i seguenti segnaposto:
{NEW_HOST}: il nuovo host OpenLDAP che intendi replicare.{PORT}: la porta OpenLDAP. La porta predefinita è10389.{PASSWORD}: la password di OpenLDAP.
- Esegui il comando
ldapmodify:ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldifThe output should be similar to the following:
modifying entry "olcDatabase={2}bdb,cn=config" - Verifica la replica:
ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncreplL'output dovrebbe essere simile al seguente:
olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1Puoi verificare che la replica funzioni correttamente leggendo e confrontando il
contextCSNper ogni server e verificare che corrispondano.ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN
Risoluzione dei problemi di replica OpenLDAP problemi
Se l'installazione utilizza più server OpenLDAP, puoi controllare le impostazioni di replica per verificare che i server funzionino correttamente.
- Assicurati che
ldapsearchrestituisca i dati da ogni server OpenLDAP:ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389
Ti viene richiesta la password di amministratore OpenLDAP.
- Controlla la configurazione di replica esaminando
/opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif. - Assicurati che la password di sistema sia la stessa su tutti i server OpenLDAP.
- Controlla le impostazioni del wrapper iptables e tcp.