Tâches de maintenance SymasLDAP

Emplacement du fichier journal

Les fichiers journaux SymasLDAP se trouvent dans le répertoire /opt/apigee/var/log. Ces fichiers peuvent être archivés et supprimés régulièrement pour s'assurer qu'ils n'occupent pas trop d'espace disque. Pour savoir comment conserver, archiver et supprimer les journaux SymasLDAP, consultez la section 19.2 du manuel SymasLDAP à l'adresse https://kb.symas.com/configuration/logging-configuration.

Définir manuellement le mot de passe d'un utilisateur

Les utilisateurs peuvent demander un nouveau mot de passe Edge dans l'interface utilisateur Edge. L'utilisateur reçoit ensuite un e-mail contenant des informations sur la définition d'un mot de passe. Toutefois, si votre serveur SMTP est hors service ou si l'utilisateur ne peut pas recevoir d'e-mail pour une raison quelconque, vous pouvez définir manuellement son mot de passe à l'aide des commandes SymasLDAP.

Pour définir le mot de passe d'un utilisateur :

  1. Utilisez ldapsearch pour télécharger les informations utilisateur : 
    /opt/symas/bin/ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Recherchez l'adresse e-mail de l'utilisateur dans le fichier ldap.txt. Un bloc doit s'afficher au format suivant : 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Utilisez ldappasswd pour définir le mot de passe de l'utilisateur en fonction de son UID : 
    /opt/symas/bin/ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Vous êtes invité à saisir le mot de passe administrateur SymasLDAP.

L'utilisateur peut désormais se connecter à l'aide de newPassWord.

Définir manuellement le mot de passe système SymasLDAP

L'article Réinitialiser les mots de passe Edge explique comment modifier le mot de passe système SymasLDAP, mais vous devez connaître le mot de passe existant. Si vous avez oublié ce mot de passe, vous pouvez le réinitialiser en suivant la procédure ci-dessous.

  1. Utilisez slappasswd pour créer le mot de passe chiffré SSHA pour un nouveau mot de passe : 
    /opt/symas/sbin/slappasswd -h {SSHA} -s newPassWord

    Cette commande renvoie une chaîne au format suivant : 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
  2. Ouvrez le fichier /opt/apigee/data/apigee-symasldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif dans un éditeur : 
    vi /opt/apigee/data/apigee-symasldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif
  3. Recherchez la ligne suivante dans le formulaire : 
    olcRootPW:: OldPasswordString
  4. Remplacez OldPasswordString par la chaîne renvoyée par slappasswd. S'il y a deux deux-points après olcRootPw, supprimez-en un et assurez-vous qu'il y a un espace après le deux-points : 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Redémarrez SymasLDAP : 
    /opt/apigee/apigee-service/bin/apigee-service apigee-symasldap restart
  6. Vérifiez que votre nouveau mot de passe fonctionne à l'aide de ldapsearch : 
    /opt/symas/bin/ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Vous êtes invité à saisir le mot de passe administrateur SymasLDAP.

  7. Répétez ces étapes sur tous les autres serveurs SymasLDAP utilisés pour la réplication.
  8. Mettez à jour le serveur de gestion pour qu'il utilise le nouveau mot de passe : 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Définir manuellement le mot de passe administrateur Edge

L'article Réinitialiser les mots de passe Edge explique comment modifier le mot de passe du système Edge, mais nécessite que vous connaissiez le mot de passe existant. Si vous avez oublié le mot de passe du système Edge, vous pouvez le réinitialiser en suivant la procédure ci-dessous.

  1. Sur le nœud de l'interface utilisateur, arrêtez l'interface utilisateur Edge : 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Utilisez ldappasswd pour définir le mot de passe administrateur système Edge : 
    /opt/symas/bin/ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Vous êtes invité à saisir le mot de passe administrateur SymasLDAP.

  3. Mettez à jour le fichier de configuration que vous avez utilisé pour installer l'interface utilisateur Edge avec le nouveau mot de passe système Edge : 
    APIGEE_ADMINPW=newPassWord
  4. Configurez et redémarrez l'interface utilisateur Edge : 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Uniquement si TLS est activé dans l'UI) Réactivez TLS dans l'UI Edge comme décrit dans Configurer TLS pour l'UI de gestion.

Supprimer le fichier de verrouillage SLAPD

Si vous recevez un message d'erreur indiquant que le fichier de verrouillage slapd.pid existe lorsque vous essayez de démarrer SymasLDAP, vous pouvez supprimer le fichier.

Le fichier se trouve dans /opt/apigee/apigee-symasldap/var/run/slapd.pid. Supprimez le fichier et essayez de redémarrer Symas LDAP :

/opt/apigee/apigee-service/bin/apigee-service apigee-symasldap restart

Si SymasLDAP ne démarre pas, essayez de le démarrer en mode débogage et recherchez les erreurs :

/opt/symas/lib/slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-symasldap/slapd.d

Les erreurs peuvent indiquer des problèmes de ressources, de mémoire ou d'utilisation du processeur.

Modifier la réplication SymasLDAP

Cette section explique comment modifier la réplication SymasLDAP.

Effectuez les étapes de la procédure suivante sur le nœud de réplication SymasLDAP, qui réplique ses données sur l'autre nœud SymasLDAP. Par exemple, si vous configurez la réplication du nœud 1 vers le nœud 2, exécutez les commandes sur le nœud 1.

  1. Vérifiez l'état actuel : 
          /opt/symas/bin/ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    La sortie devrait ressembler à ce qui suit :

    olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
  2. Créez un fichier repl.lidf et collez-y les commandes suivantes : 
    dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcSyncRepl
    olcSyncRepl: rid=001
    provider=ldap://{NEW_HOST}:{PORT}/
    binddn="cn=manager,dc=apigee,dc=com"
    bindmethod=simple
    credentials={PASSWORD}
    searchbase="dc=apigee,dc=com"
    attrs="*,+"
    type=refreshAndPersist
    retry="60 1 300 12 7200 +"
    timeout=1

    Veillez à remplacer les espaces réservés suivants par les valeurs appropriées :

    • {NEW_HOST} : nouvel hôte SymasLDAP vers lequel vous prévoyez d'effectuer la réplication.
    • {PORT} : port SymasLDAP. Le port par défaut est 10389.
    • {PASSWORD} : mot de passe SymasLDAP.
  3. Exécutez la commande ldapmodify : 
          /opt/symas/bin/ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
    
    The output should be similar to the following:
    
    
    modifying entry "olcDatabase={2}mdb,cn=config"
  4. Vérifiez la réplication : 
          /opt/symas/bin/ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    La sortie devrait ressembler à ce qui suit : 

    olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

    Vous pouvez vérifier que la réplication fonctionne correctement en lisant et en comparant la valeur contextCSN de chaque serveur, et en vous assurant qu'elles correspondent.

          /opt/symas/bin/ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN

Résoudre les problèmes de réplication SymasLDAP

Si votre installation utilise plusieurs serveurs SymasLDAP, vous pouvez vérifier les paramètres de réplication pour vous assurer qu'ils fonctionnent correctement.

  1. Assurez-vous que ldapsearch renvoie des données de chaque serveur SymasLDAP : 
    /opt/symas/bin/ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Vous êtes invité à saisir le mot de passe administrateur SymasLDAP.

  2. Vérifiez la configuration de la réplication en examinant le fichier /opt/apigee/conf/symasldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif.
  3. Assurez-vous que le mot de passe système est identique sur chaque serveur OpenLDAP.
  4. Vérifiez les paramètres iptables et tcp wrapper.