Tugas pemeliharaan SymasLDAP

Lokasi file log

File log SymasLDAP terdapat di direktori /opt/apigee/var/log. File ini dapat diarsipkan dan dihapus secara berkala untuk memastikan file tidak menggunakan ruang disk yang berlebihan. Informasi tentang cara mempertahankan, mengarsipkan, dan menghapus log SymasLDAP dapat ditemukan di Bagian 19.2 manual SymasLDAP di https://kb.symas.com/configuration/logging-configuration.

Menyetel sandi pengguna secara manual

Pengguna dapat meminta sandi Edge baru di UI Edge. Kemudian, pengguna akan menerima email yang berisi informasi tentang cara menyetel sandi. Namun, jika server SMTP Anda tidak berfungsi, atau pengguna tidak dapat menerima email karena alasan apa pun, Anda dapat menyetel sandi pengguna secara manual menggunakan perintah SymasLDAP.

Untuk menyetel sandi pengguna:

  1. Gunakan ldapsearch untuk mendownload informasi pengguna: 
    /opt/symas/bin/ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. Telusuri alamat email pengguna di file ldap.txt. Anda akan melihat blok di formulir: 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. Gunakan ldappasswd untuk menyetel sandi pengguna berdasarkan uid pengguna: 
    /opt/symas/bin/ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    Anda akan diminta memasukkan sandi admin SymasLDAP.

Pengguna kini dapat login menggunakan newPassWord.

Menetapkan sandi sistem SymasLDAP secara manual

Mereset sandi Edge menjelaskan cara mengubah sandi sistem SymasLDAP, tetapi mengharuskan Anda mengetahui sandi yang ada. Jika Anda kehilangan sandi tersebut, Anda dapat menggunakan prosedur berikut untuk meresetnya.

  1. Gunakan slappasswd untuk membuat sandi terenkripsi SSHA untuk sandi baru: 
    /opt/symas/sbin/slappasswd -h {SSHA} -s newPassWord

    Perintah ini menampilkan string dalam bentuk: 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
  2. Buka file /opt/apigee/data/apigee-symasldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif di editor: 
    vi /opt/apigee/data/apigee-symasldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif
  3. Temukan baris di formulir: 
    olcRootPW:: OldPasswordString
  4. Ganti OldPasswordString dengan string yang ditampilkan dari slappasswd. Jika ada 2 titik dua setelah olcRootPw, hapus salah satunya dan pastikan ada spasi setelah titik dua: 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. Mulai ulang SymasLDAP: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-symasldap restart
  6. Periksa menggunakan ldapsearch apakah sandi baru Anda berfungsi: 
    /opt/symas/bin/ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Anda akan diminta memasukkan sandi admin SymasLDAP.

  7. Ulangi langkah-langkah ini di server SymasLDAP lain yang digunakan untuk replikasi.
  8. Perbarui Server Pengelolaan untuk menggunakan sandi baru: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

Menetapkan sandi admin Edge secara manual

Mereset Sandi Edge menjelaskan cara mengubah sandi sistem Edge, tetapi mengharuskan Anda mengetahui sandi yang ada. Jika Anda kehilangan sandi sistem Edge, Anda dapat menggunakan prosedur berikut untuk meresetnya.

  1. Di node UI, hentikan Edge UI: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. Gunakan ldappasswd untuk menyetel sandi admin sistem Edge: 
    /opt/symas/bin/ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    Anda akan diminta memasukkan sandi admin SymasLDAP.

  3. Perbarui file konfigurasi yang Anda gunakan untuk menginstal Edge UI dengan sandi sistem Edge yang baru: password: 
    APIGEE_ADMINPW=newPassWord
  4. Konfigurasi dan mulai ulang UI Edge: 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (Hanya jika TLS diaktifkan di UI) Aktifkan kembali TLS di UI Edge seperti yang dijelaskan dalam Mengonfigurasi TLS untuk UI pengelolaan.

Menghapus file kunci SLAPD

Jika Anda mendapatkan error saat mencoba memulai SymasLDAP bahwa file kunci slapd.pid ada, Anda dapat menghapus file tersebut.

File ini terletak di /opt/apigee/apigee-symasldap/var/run/slapd.pid. Hapus file dan coba mulai ulang SymasLDAP:

/opt/apigee/apigee-service/bin/apigee-service apigee-symasldap restart

Jika SymasLDAP tidak dimulai, coba mulai dalam mode debug dan periksa error:

/opt/symas/lib/slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-symasldap/slapd.d

Error dapat menunjukkan masalah resource, memori, atau penggunaan CPU.

Mengubah replikasi SymasLDAP

Bagian ini menjelaskan cara mengubah replikasi SymasLDAP.

Lakukan langkah-langkah dalam prosedur berikut di node replikator SymasLDAP, yang mereplikasi datanya ke node SymasLDAP lainnya. Misalnya, jika Anda menyetel replikasi dari node1 ke node2, jalankan perintah di node1.

  1. Periksa status saat ini: 
          /opt/symas/bin/ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    Outputnya akan mirip dengan berikut ini:

    olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
  2. Buat file repl.lidf dan tempelkan perintah berikut ke dalamnya: 
    dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcSyncRepl
    olcSyncRepl: rid=001
    provider=ldap://{NEW_HOST}:{PORT}/
    binddn="cn=manager,dc=apigee,dc=com"
    bindmethod=simple
    credentials={PASSWORD}
    searchbase="dc=apigee,dc=com"
    attrs="*,+"
    type=refreshAndPersist
    retry="60 1 300 12 7200 +"
    timeout=1

    Pastikan Anda mengganti nilai yang sesuai untuk placeholder berikut:

    • {NEW_HOST}: Host SymasLDAP baru, yang akan Anda replikasi.
    • {PORT}: Port SymasLDAP. Port default-nya adalah 10389.
    • {PASSWORD}: Sandi SymasLDAP.
  3. Jalankan perintah ldapmodify: 
          /opt/symas/bin/ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
    
    The output should be similar to the following:
    
    
    modifying entry "olcDatabase={2}mdb,cn=config"
  4. Verifikasi replikasi: 
          /opt/symas/bin/ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    Outputnya akan mirip dengan berikut ini: 

    olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

    Anda dapat memverifikasi bahwa replikasi berfungsi dengan benar dengan membaca dan membandingkan nilai contextCSN dari setiap server dan memastikan bahwa nilai tersebut cocok.

          /opt/symas/bin/ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN

Memecahkan masalah replikasi SymasLDAP

Jika penginstalan Anda menggunakan beberapa server SymasLDAP, Anda dapat memeriksa setelan replikasi untuk memastikan server tersebut berfungsi dengan baik.

  1. Pastikan ldapsearch menampilkan data dari setiap server SymasLDAP: 
    /opt/symas/bin/ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    Anda akan diminta memasukkan sandi admin SymasLDAP.

  2. Periksa konfigurasi replikasi dengan memeriksa file /opt/apigee/conf/symasldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif.
  3. Pastikan sandi sistem sama di setiap server OpenLDAP.
  4. Periksa setelan iptables dan tcp wrapper.