משימות תחזוקה של SymasLDAP

מיקום קובץ היומן

קובצי היומן של SymasLDAP נמצאים בספרייה /opt/apigee/var/log. כדי לוודא שהם לא תופסים יותר מדי מקום בדיסק, אפשר לארכב ולהסיר את הקבצים האלה מדי פעם. מידע על תחזוקה, ארכיון והסרה של יומני SymasLDAP מופיע בקטע 19.2 במדריך SymasLDAP בכתובת https://kb.symas.com/configuration/logging-configuration.

הגדרה ידנית של סיסמת משתמש

המשתמשים יכולים לבקש סיסמה חדשה ל-Edge בממשק המשתמש של Edge. המשתמש יקבל אימייל עם מידע על הגדרת סיסמה. עם זאת, אם שרת ה-SMTP מושבת או שהמשתמש לא יכול לקבל אימייל מסיבה כלשהי, אפשר להגדיר את הסיסמה של המשתמש באופן ידני באמצעות פקודות SymasLDAP.

כדי להגדיר סיסמה של משתמש:

  1. כדי להוריד את פרטי המשתמשים, משתמשים ב-ldapsearch: 
    /opt/symas/bin/ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. מחפשים בקובץ ldap.txt את כתובת האימייל של המשתמש. בטופס אמור להופיע בלוק: 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. משתמשים ב-ldappasswd כדי להגדיר את הסיסמה של המשתמש על סמך ה-uid של המשתמש: 
    /opt/symas/bin/ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    מוצגת בקשה להזנת סיסמת האדמין של SymasLDAP.

המשתמש יכול עכשיו להיכנס לחשבון באמצעות newPassWord.

הגדרת סיסמת המערכת של SymasLDAP באופן ידני

במאמר איפוס סיסמאות ב-Edge מוסבר איך לשנות את סיסמת המערכת של SymasLDAP, אבל נדרשת הסיסמה הקיימת. אם איבדתם את הסיסמה, תוכלו לאפס אותה באמצעות התהליך הבא.

  1. משתמשים בפקודה slappasswd כדי ליצור סיסמה חדשה מוצפנת ב-SSHA: 
    /opt/symas/sbin/slappasswd -h {SSHA} -s newPassWord

    הפקודה הזו מחזירה מחרוזת מהצורה: 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
  2. פותחים את הקובץ /opt/apigee/data/apigee-symasldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif בעורך: 
    vi /opt/apigee/data/apigee-symasldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif
  3. מאתרים את השורה בטופס: 
    olcRootPW:: OldPasswordString
  4. מחליפים את OldPasswordString במחרוזת שמוחזרת מ-slappasswd. אם יש 2 נקודתיים אחרי olcRootPw, מסירים אחת ומוודאים שיש רווח אחרי הנקודתיים: 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. מפעילים מחדש את SymasLDAP: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-symasldap restart
  6. כדי לבדוק אם הסיסמה החדשה פועלת, נכנסים לחשבון באמצעות ldapsearch: 
    /opt/symas/bin/ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    מוצגת בקשה להזנת סיסמת האדמין של SymasLDAP.

  7. חוזרים על השלבים האלה בכל שרתי SymasLDAP אחרים שנמצאים בשימוש לשכפול.
  8. מעדכנים את שרת הניהול כדי להשתמש בסיסמה החדשה: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

הגדרת סיסמת האדמין ב-Edge באופן ידני

במאמר איפוס סיסמאות ב-Edge מוסבר איך לשנות את סיסמת המערכת של Edge, אבל נדרשת הסיסמה הקיימת. אם איבדתם את סיסמת המערכת של Edge, תוכלו לאפס אותה באמצעות התהליך הבא.

  1. בצומת של ממשק המשתמש, מפסיקים את ממשק המשתמש של Edge: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. משתמשים בקוד ldappasswd כדי להגדיר את סיסמת מנהל המערכת של Edge: 
    /opt/symas/bin/ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    מוצגת בקשה להזנת סיסמת האדמין של SymasLDAP.

  3. מעדכנים את קובץ ההגדרות שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge עם הסיסמה החדשה של מערכת Edge: 
    APIGEE_ADMINPW=newPassWord
  4. מגדירים ומפעילים מחדש את ממשק המשתמש של Edge: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (רק אם TLS מופעל בממשק המשתמש) מפעילים מחדש את TLS בממשק המשתמש של Edge, כמו שמתואר במאמר הגדרת TLS לממשק המשתמש לניהול.

מחיקת קובץ הנעילה של SLAPD

אם מופיעה שגיאה כשמנסים להפעיל את SymasLDAP, שלפיה קובץ הנעילה slapd.pid קיים, אפשר למחוק את הקובץ.

הקובץ נמצא ב-/opt/apigee/apigee-symasldap/var/run/slapd.pid. מוחקים את הקובץ ומנסים להפעיל מחדש את SymasLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-symasldap restart

אם SymasLDAP לא מופעל, נסו להפעיל אותו במצב ניפוי באגים ובדקו אם יש שגיאות:

/opt/symas/lib/slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-symasldap/slapd.d

יכול להיות שהשגיאות מצביעות על בעיות במשאבים, בזיכרון או בשימוש במעבד.

שינוי הרפליקציה של SymasLDAP

בקטע הזה מוסבר איך לשנות את השכפול של SymasLDAP.

מבצעים את השלבים שמתוארים בהליך הבא בצומת של הכלי SymasLDAP replicator, שמשכפל את הנתונים שלו לצומת השני של SymasLDAP. לדוגמה, אם מגדירים שכפול מ-node1 ל-node2, מריצים את הפקודות ב-node1.

  1. בודקים את המצב הנוכחי: 
          /opt/symas/bin/ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    הפלט אמור להיראות כך:

    olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
  2. יוצרים קובץ repl.lidf ומדביקים בו את הפקודות הבאות: 
    dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcSyncRepl
    olcSyncRepl: rid=001
    provider=ldap://{NEW_HOST}:{PORT}/
    binddn="cn=manager,dc=apigee,dc=com"
    bindmethod=simple
    credentials={PASSWORD}
    searchbase="dc=apigee,dc=com"
    attrs="*,+"
    type=refreshAndPersist
    retry="60 1 300 12 7200 +"
    timeout=1

    חשוב להחליף את ה-placeholders הבאים בערכים המתאימים:

    • {NEW_HOST}: המארח החדש של SymasLDAP שאליו אתם מתכננים לשכפל.
    • {PORT}: היציאה של SymasLDAP. יציאת ברירת המחדל היא 10389.
    • {PASSWORD}: הסיסמה של SymasLDAP.
  3. מריצים את הפקודה ldapmodify: 
          /opt/symas/bin/ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
    
    The output should be similar to the following:
    
    
    modifying entry "olcDatabase={2}mdb,cn=config"
  4. אימות השכפול: 
          /opt/symas/bin/ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    הפלט אמור להיראות כך: 

    olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

    כדי לוודא שהשכפול פועל בצורה תקינה, קוראים את הערך contextCSN מכל שרת ומשווים בין הערכים.

          /opt/symas/bin/ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN

פתרון בעיות בשכפול של SymasLDAP

אם בהתקנה שלכם נעשה שימוש בכמה שרתי SymasLDAP, אתם יכולים לבדוק את הגדרות השכפול כדי לוודא שהשרתים פועלים בצורה תקינה.

  1. מוודאים ש-ldapsearch מחזיר נתונים מכל שרת SymasLDAP: 
    /opt/symas/bin/ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    מוצגת בקשה להזנת סיסמת האדמין של SymasLDAP.

  2. בודקים את הגדרות השכפול על ידי עיון בקובץ /opt/apigee/conf/symasldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif.
  3. מוודאים שסיסמת המערכת זהה בכל שרת OpenLDAP.
  4. בודקים את ההגדרות של iptables ו-tcp wrapper.