Tugas pemeliharaan OpenLDAP

Lokasi file log

File log OpenLDAP berada di direktori /opt/apigee/var/log. File ini dapat berupa diarsipkan dan dihapus secara berkala untuk memastikan bahwa file tersebut tidak menghabiskan terlalu banyak ruang disk spasi. Informasi tentang pemeliharaan, pengarsipan, dan penghapusan log OpenLDAP dapat ditemukan di Bagian 19.2 dari panduan OpenLDAP di http://www.openldap.org/doc/admin24/maintenance.html.

Menyetel sandi pengguna secara manual

Pengguna dapat meminta sandi Edge baru di UI Edge. Pengguna kemudian menerima email berisi informasi tentang cara mengatur {i>password<i}. Namun, jika server SMTP Anda tidak aktif, atau pengguna tidak dapat menerima email untuk alasan apa pun, Anda dapat mengatur {i>password<i} pengguna secara manual dengan menggunakan OpenLDAP perintah.

Untuk menyetel sandi pengguna:

  1. Gunakan ldapsearch untuk mendownload informasi pengguna: 
    ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Telusuri alamat email pengguna di file ldap.txt. Anda akan melihat blok dalam formulir: 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Gunakan ldappasswd untuk menetapkan sandi pengguna berdasarkan uid pengguna: 
    ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Anda akan diminta untuk memasukkan sandi admin OpenLDAP.

Pengguna kini dapat login menggunakan newPassWord.

Setel sandi sistem OpenLDAP secara manual

Mereset sandi Edge menjelaskan cara mengubah {i>Password<i} sistem OpenLDAP tetapi mengharuskan Anda mengetahui {i>password<i} yang ada. Jika Anda kehilangan {i>password<i}, Anda dapat menggunakan prosedur berikut untuk mengatur ulang.

  1. Gunakan slappasswd untuk membuat sandi terenkripsi SSHA untuk sandi baru: 
    slappasswd -h {SSHA} -s newPassWord

    Perintah ini menampilkan string dalam bentuk: 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6

  2. Buka /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif di editor: 
    vi /opt/apigee/data/apigee-openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif
  3. Temukan garis dalam formulir: 
    olcRootPW:: OldPasswordString
  4. Ganti OldPasswordString dengan string yang ditampilkan dari slappasswd. Jika ada 2 titik dua setelah olcRootPw, hapus satu dan pastikan ada spasi setelah tanda titik dua: 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Mulai ulang OpenLDAP: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart
  6. Periksa menggunakan ldapsearch apakah sandi baru Anda berfungsi: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Anda akan diminta untuk memasukkan sandi admin OpenLDAP.

  7. Ulangi langkah-langkah ini pada server OpenLDAP lainnya yang digunakan untuk replikasi.
  8. Update Server Pengelolaan untuk menggunakan sandi baru: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Menyetel sandi admin Edge secara manual

Mereset Sandi Edge menjelaskan cara mengubah Sandi sistem edge, tetapi mengharuskan Anda mengetahui sandi yang ada. Jika Anda telah kehilangan Edge {i>password<i} sistem, Anda dapat menggunakan prosedur berikut untuk mengatur ulang.

  1. Pada node UI, hentikan UI Edge: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Gunakan ldappasswd untuk menyetel sandi admin sistem Edge: 
    ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Anda akan diminta untuk memasukkan sandi admin OpenLDAP.

  3. Mengupdate file konfigurasi yang Anda gunakan untuk menginstal UI Edge dengan sistem Edge baru kata sandi: 
    APIGEE_ADMINPW=newPassWord
  4. Konfigurasi dan mulai ulang UI Edge: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Hanya jika TLS diaktifkan di UI) Aktifkan kembali TLS di UI Edge sebagai yang dijelaskan dalam Mengonfigurasi TLS untuk pengelolaan UI.

Hapus file kunci SLAPD

Jika Anda mendapatkan error saat mencoba memulai OpenLDAP bahwa file kunci slapd.pid ada, Anda dapat menghapus file itu.

File ini terletak di /opt/apigee/apigee-openldap/var/run/slapd.pid. Hapus dan coba {i>restart <i}OpenLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-openldap restart

Jika OpenLDAP tidak dimulai, coba mulai dalam mode debug dan periksa apakah ada error:

slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-openldap/slapd.d

Error dapat menunjukkan masalah resource, memori, atau penggunaan CPU.

Memodifikasi replikasi OpenLDAP

Bagian ini menjelaskan cara mengubah replikasi OpenLDAP.

Lakukan langkah-langkah dalam prosedur berikut pada node replikator OpenLDAP, yang mereplikasi datanya ke {i>node<i} OpenLDAP lainnya. Misalnya, jika Anda mengatur replikasi dari node1 ke node2, jalankan perintah pada {i>node1<i}.

  1. Periksa status saat ini: 
    ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    Outputnya akan mirip dengan berikut ini:

    olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
  2. Buat file repl.lidf dan tempel perintah berikut ke dalam file: 
    dn: olcDatabase={2}bdb,cn=config
changetype: modify
replace: olcSyncRepl
    olcSyncRepl: rid=001
    provider=ldap://{NEW_HOST}:{PORT}/
    binddn="cn=manager,dc=apigee,dc=com"
    bindmethod=simple
    credentials={PASSWORD}
    searchbase="dc=apigee,dc=com"
    attrs="*,+"
    type=refreshAndPersist
    retry="60 1 300 12 7200 +"
    timeout=1

    Pastikan Anda mengganti nilai yang sesuai untuk placeholder berikut:

    • {NEW_HOST}: Host OpenLDAP baru, yang ingin Anda replikasi.
    • {PORT}: Port OpenLDAP. Port default-nya adalah 10389.
    • {PASSWORD}: Sandi OpenLDAP.
  3. Jalankan perintah ldapmodify: 
    ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
    
    The output should be similar to the following:
    
    
    modifying entry "olcDatabase={2}bdb,cn=config"
  4. Verifikasi replikasi: 
    ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    Output harus serupa dengan berikut ini: 

    olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

    Anda dapat memverifikasi bahwa replikasi berfungsi dengan benar dengan membaca dan membandingkan Nilai contextCSN dari setiap server dan memastikan semuanya cocok.

    ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN

Memecahkan masalah replikasi OpenLDAP masalah

Jika penginstalan Anda menggunakan beberapa server OpenLDAP, Anda dapat memeriksa setelan replikasi untuk memastikan bahwa server tersebut berfungsi dengan baik.

  1. Pastikan ldapsearch menampilkan data dari setiap server OpenLDAP: 
    ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Anda akan diminta untuk memasukkan sandi admin OpenLDAP.

  2. Periksa konfigurasi replikasi dengan memeriksa /opt/apigee/conf/openldap/slapd.d/cn=config/olcDatabase={2}bdb.ldif .
  3. Pastikan kata sandi sistem sama pada setiap server OpenLDAP.
  4. Periksa setelan iptables dan tcp wrapper.