SymasLDAP-Wartungsaufgaben

Speicherort der Protokolldatei

SymasLDAP-Protokolldateien befinden sich im Verzeichnis /opt/apigee/var/log. Diese Dateien können regelmäßig archiviert und entfernt werden, damit sie nicht zu viel Speicherplatz belegen. Informationen zum Verwalten, Archivieren und Entfernen von SymasLDAP-Logs finden Sie im SymasLDAP-Handbuch unter https://kb.symas.com/configuration/logging-configuration im Abschnitt 19.2.

Passwort eines Nutzers manuell festlegen

Nutzer können in der Edge-Benutzeroberfläche ein neues Edge-Passwort anfordern. Der Nutzer erhält dann eine E‑Mail mit Informationen zum Festlegen eines Passworts. Wenn Ihr SMTP-Server jedoch nicht verfügbar ist oder der Nutzer aus irgendeinem Grund keine E-Mail empfangen kann, können Sie das Passwort des Nutzers manuell mit SymasLDAP-Befehlen festlegen.

So legen Sie das Passwort eines Nutzers fest:

  1. So laden Sie Nutzerinformationen mit ldapsearch herunter: 
    /opt/symas/bin/ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Suchen Sie in der Datei „ldap.txt“ nach der E‑Mail-Adresse des Nutzers. Es sollte ein Block in folgender Form angezeigt werden: 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Verwenden Sie ldappasswd, um das Passwort des Nutzers basierend auf der UID des Nutzers festzulegen: 
    /opt/symas/bin/ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Sie werden zur Eingabe des SymasLDAP-Administratorpassworts aufgefordert.

Der Nutzer kann sich jetzt mit newPassWord anmelden.

SymasLDAP-Systempasswort manuell festlegen

Unter Edge-Passwörter zurücksetzen wird beschrieben, wie Sie das SymasLDAP-Systempasswort ändern. Dazu müssen Sie jedoch das vorhandene Passwort kennen. Wenn Sie das Passwort verloren haben, können Sie es mit dem folgenden Verfahren zurücksetzen.

  1. Verwenden Sie slappasswd, um das SSHA-verschlüsselte Passwort für ein neues Passwort zu erstellen: 
    /opt/symas/sbin/slappasswd -h {SSHA} -s newPassWord

    Dieser Befehl gibt einen String im folgenden Format zurück: 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
  2. Öffnen Sie die Datei /opt/apigee/data/apigee-symasldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif in einem Editor: 
    vi /opt/apigee/data/apigee-symasldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif
  3. Suchen Sie im Formular nach der Zeile: 
    olcRootPW:: OldPasswordString
  4. Ersetzen Sie OldPasswordString durch den String, der von slappasswd zurückgegeben wird. Wenn nach olcRootPw zwei Doppelpunkte stehen, entfernen Sie einen und achten Sie darauf, dass nach dem Doppelpunkt ein Leerzeichen steht: 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Starten Sie SymasLDAP neu: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-symasldap restart
  6. Prüfen Sie mit ldapsearch, ob Ihr neues Passwort funktioniert: 
    /opt/symas/bin/ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Sie werden zur Eingabe des SymasLDAP-Administratorpassworts aufgefordert.

  7. Wiederholen Sie diese Schritte auf allen anderen SymasLDAP-Servern, die für die Replikation verwendet werden.
  8. Aktualisieren Sie den Management Server, damit er das neue Passwort verwendet: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Edge-Administratorpasswort manuell festlegen

Unter Edge-Passwörter zurücksetzen wird beschrieben, wie Sie das Edge-Systempasswort ändern. Dazu müssen Sie jedoch das vorhandene Passwort kennen. Wenn Sie das Edge-Systempasswort verloren haben, können Sie es mit dem folgenden Verfahren zurücksetzen.

  1. Beenden Sie die Edge-Benutzeroberfläche auf dem UI-Knoten: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Verwenden Sie ldappasswd, um das Edge-Systemadministratorpasswort festzulegen: 
    /opt/symas/bin/ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Sie werden zur Eingabe des SymasLDAP-Administratorpassworts aufgefordert.

  3. Aktualisieren Sie die Konfigurationsdatei, die Sie zum Installieren der Edge-Benutzeroberfläche verwendet haben, mit dem neuen Edge-Systempasswort: 
    APIGEE_ADMINPW=newPassWord
  4. Edge-UI konfigurieren und neu starten: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Nur wenn TLS in der Benutzeroberfläche aktiviert ist) Aktivieren Sie TLS in der Edge-Benutzeroberfläche wieder, wie unter TLS für die Verwaltungs-UI konfigurieren beschrieben.

SLAPD-Sperrdatei löschen

Wenn beim Starten von SymasLDAP ein Fehler auftritt, weil die Sperrdatei slapd.pid vorhanden ist, können Sie die Datei löschen.

Die Datei befindet sich in /opt/apigee/apigee-symasldap/var/run/slapd.pid. Löschen Sie die Datei und versuchen Sie, SymasLDAP neu zu starten:

/opt/apigee/apigee-service/bin/apigee-service apigee-symasldap restart

Wenn SymasLDAP nicht startet, versuchen Sie, es im Debug-Modus zu starten, und suchen Sie nach Fehlern:

/opt/symas/lib/slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-symasldap/slapd.d

Fehler können auf Ressourcen-, Arbeitsspeicher- oder CPU-Auslastungsprobleme hinweisen.

SymasLDAP-Replikation ändern

In diesem Abschnitt wird erläutert, wie Sie die SymasLDAP-Replikation ändern.

Führen Sie die Schritte im folgenden Verfahren auf dem SymasLDAP-Replikator-Knoten aus, der seine Daten auf den anderen SymasLDAP-Knoten repliziert. Wenn Sie beispielsweise die Replikation von „node1“ zu „node2“ einrichten, führen Sie die Befehle auf „node1“ aus.

  1. Aktuellen Status prüfen: 
          /opt/symas/bin/ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    Die Ausgabe sollte in etwa so aussehen:

    olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
  2. Erstellen Sie eine Datei namens repl.lidf und fügen Sie die folgenden Befehle in die Datei ein: 
    dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcSyncRepl
    olcSyncRepl: rid=001
    provider=ldap://{NEW_HOST}:{PORT}/
    binddn="cn=manager,dc=apigee,dc=com"
    bindmethod=simple
    credentials={PASSWORD}
    searchbase="dc=apigee,dc=com"
    attrs="*,+"
    type=refreshAndPersist
    retry="60 1 300 12 7200 +"
    timeout=1

    Ersetzen Sie die folgenden Platzhalter durch die entsprechenden Werte:

    • {NEW_HOST}: Der neue SymasLDAP-Host, auf den Sie replizieren möchten.
    • {PORT}: Der SymasLDAP-Port. Der Standardport ist 10389.
    • {PASSWORD}: Das SymasLDAP-Passwort.
  3. Führen Sie den Befehl ldapmodify aus: 
          /opt/symas/bin/ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
    
    The output should be similar to the following:
    
    
    modifying entry "olcDatabase={2}mdb,cn=config"
  4. Replikation prüfen: 
          /opt/symas/bin/ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    Die Ausgabe sollte in etwa so aussehen: 

    olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

    Sie können prüfen, ob die Replikation richtig funktioniert, indem Sie den contextCSN-Wert von jedem Server lesen und vergleichen.

          /opt/symas/bin/ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN

Fehlerbehebung bei der SymasLDAP-Replikation

Wenn in Ihrer Installation mehrere SymasLDAP-Server verwendet werden, können Sie die Replikationseinstellungen prüfen, um sicherzustellen, dass die Server ordnungsgemäß funktionieren.

  1. Prüfen Sie, ob ldapsearch Daten von jedem SymasLDAP-Server zurückgibt: 
    /opt/symas/bin/ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Sie werden zur Eingabe des SymasLDAP-Administratorpassworts aufgefordert.

  2. Prüfen Sie die Replikationskonfiguration anhand der Datei /opt/apigee/conf/symasldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif.
  3. Das Systempasswort muss auf jedem OpenLDAP-Server identisch sein.
  4. Prüfen Sie die iptables- und tcp wrapper-Einstellungen.