งานบำรุงรักษา SymasLDAP

ตำแหน่งไฟล์บันทึก

ไฟล์บันทึกของ SymasLDAP อยู่ในไดเรกทอรี /opt/apigee/var/log คุณสามารถเก็บถาวรและนำไฟล์เหล่านี้ออกเป็นระยะๆ เพื่อให้มั่นใจว่าไฟล์จะไม่ใช้พื้นที่ดิสก์มากเกินไป ดูข้อมูลเกี่ยวกับการบำรุงรักษา การเก็บถาวร และการนำบันทึก SymasLDAP ออกได้ในส่วนที่ 19.2 ของคู่มือ SymasLDAP ที่ https://kb.symas.com/configuration/logging-configuration

ตั้งรหัสผ่านของผู้ใช้ด้วยตนเอง

ผู้ใช้ขอรหัสผ่าน Edge ใหม่ได้ใน UI ของ Edge จากนั้นผู้ใช้จะได้รับอีเมลพร้อม ข้อมูลเกี่ยวกับการตั้งรหัสผ่าน อย่างไรก็ตาม หากเซิร์ฟเวอร์ SMTP หยุดทำงาน หรือผู้ใช้รับอีเมลไม่ได้ไม่ว่าด้วยเหตุผลใดก็ตาม คุณก็ตั้งรหัสผ่านของผู้ใช้ด้วยตนเองได้โดยใช้คำสั่ง SymasLDAP

วิธีตั้งรหัสผ่านของผู้ใช้

  1. วิธีใช้ ldapsearch เพื่อดาวน์โหลดข้อมูลผู้ใช้ 
    /opt/symas/bin/ldapsearch -w ldapAdminPWord -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389 > ldap.txt
  2. ค้นหาอีเมลของผู้ใช้ในไฟล์ ldap.txt คุณควรเห็นบล็อกในแบบฟอร์มดังนี้ 
    dn: uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com
mail: foo@bar.com
userPassword:: e1NTSEF9a01UUDdSd01BYXRuUURXdXN5OWNPRzBEWWlYZFBRTm14MHlNVWc9PQ==
uid: 29383a67-9279-4aa8-a75b-cfbf901578fc
  3. ใช้ ldappasswd เพื่อตั้งรหัสผ่านของผู้ใช้ตาม uid ของผู้ใช้ 
    /opt/symas/bin/ldappasswd -h LDAP_IP -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=29383a67-9279-4aa8-a75b-cfbf901578fc,ou=users,ou=global,dc=apigee,dc=com"

    ระบบจะแจ้งให้คุณป้อนรหัสผ่านผู้ดูแลระบบ SymasLDAP

ตอนนี้ผู้ใช้จะเข้าสู่ระบบได้โดยใช้ newPassWord

ตั้งรหัสผ่านของระบบ SymasLDAP ด้วยตนเอง

การรีเซ็ตรหัสผ่านของ Edge อธิบายวิธีเปลี่ยนรหัสผ่านของระบบ SymasLDAP แต่คุณต้องทราบรหัสผ่านที่มีอยู่ หากลืมรหัสผ่านดังกล่าว คุณสามารถใช้ขั้นตอนต่อไปนี้เพื่อรีเซ็ตรหัสผ่าน

  1. ใช้ slappasswd เพื่อสร้างรหัสผ่านที่เข้ารหัส SSHA สำหรับรหัสผ่านใหม่ 
    /opt/symas/sbin/slappasswd -h {SSHA} -s newPassWord

    คำสั่งนี้จะแสดงผลสตริงในรูปแบบต่อไปนี้ 

    {SSHA}+DOup9d6l+czfWzkIvajwYPArjPurhS6
  2. เปิดไฟล์ /opt/apigee/data/apigee-symasldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif ในโปรแกรมแก้ไข 
    vi /opt/apigee/data/apigee-symasldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif
  3. ค้นหาบรรทัดในแบบฟอร์ม 
    olcRootPW:: OldPasswordString
  4. แทนที่ OldPasswordString ด้วยสตริงที่ส่งคืนจาก slappasswd หากมีเครื่องหมายโคลอน 2 ตัวหลัง olcRootPw ให้นำออก 1 ตัวและตรวจสอบว่ามีช่องว่าง หลังเครื่องหมายโคลอน 
    olcRootPW: {SSHA}RGon+bLCe+Sk+HyHholFBj8ONQfabrhw
  5. รีสตาร์ท SymasLDAP 
    /opt/apigee/apigee-service/bin/apigee-service apigee-symasldap restart
  6. ตรวจสอบว่ารหัสผ่านใหม่ใช้งานได้หรือไม่โดยทำดังนี้ ldapsearch 
    /opt/symas/bin/ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    ระบบจะแจ้งให้คุณป้อนรหัสผ่านผู้ดูแลระบบ SymasLDAP

  7. ทำขั้นตอนเหล่านี้ซ้ำในเซิร์ฟเวอร์ SymasLDAP อื่นๆ ที่ใช้สำหรับการจำลอง
  8. อัปเดตเซิร์ฟเวอร์การจัดการให้ใช้รหัสผ่านใหม่โดยทำดังนี้ 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server store_ldap_credentials -p newPassWord

ตั้งรหัสผ่านผู้ดูแลระบบ Edge ด้วยตนเอง

การรีเซ็ตรหัสผ่านของ Edge อธิบายวิธีเปลี่ยนรหัสผ่านของระบบ Edge แต่คุณต้องทราบรหัสผ่านที่มีอยู่ หากลืมรหัสผ่านของระบบ Edge คุณสามารถใช้ขั้นตอนต่อไปนี้เพื่อรีเซ็ตรหัสผ่าน

  1. ในโหนด UI ให้หยุด Edge UI โดยทำดังนี้ 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui stop
  2. ใช้ ldappasswd เพื่อตั้งรหัสผ่านผู้ดูแลระบบ Edge 
    /opt/symas/bin/ldappasswd -h localhost -p 10389 -D "cn=manager,dc=apigee,dc=com" -W -s newPassWord \
  "uid=admin,ou=users,ou=global,dc=apigee,dc=com"

    ระบบจะแจ้งให้คุณป้อนรหัสผ่านผู้ดูแลระบบ SymasLDAP

  3. อัปเดตไฟล์การกำหนดค่าที่ใช้ติดตั้ง Edge UI ด้วยรหัสผ่านระบบ Edge ใหม่ 
    APIGEE_ADMINPW=newPassWord
  4. กำหนดค่าและรีสตาร์ท UI ของ Edge โดยทำดังนี้ 
    /opt/apigee/apigee-setup/bin/setup.sh -p ui -f configFile
  5. (เฉพาะในกรณีที่เปิดใช้ TLS ใน UI) เปิดใช้ TLS ใน Edge UI อีกครั้งตามที่ อธิบายไว้ในการกำหนดค่า TLS สำหรับ UI การจัดการ

ลบไฟล์ล็อก SLAPD

หากได้รับข้อผิดพลาดขณะพยายามเริ่ม SymasLDAP ว่ามีslapd.pidไฟล์ล็อก อยู่ คุณสามารถลบไฟล์ดังกล่าวได้

ไฟล์อยู่ใน /opt/apigee/apigee-symasldap/var/run/slapd.pid ลบไฟล์ แล้วลองรีสตาร์ท SymasLDAP

/opt/apigee/apigee-service/bin/apigee-service apigee-symasldap restart

หาก SymasLDAP ไม่เริ่มทำงาน ให้ลองเริ่มในโหมดแก้ไขข้อบกพร่องและตรวจสอบข้อผิดพลาด

/opt/symas/lib/slapd -h ldap://:10389/ -u apigee -d 255 -F /opt/apigee/data/apigee-symasldap/slapd.d

ข้อผิดพลาดอาจบ่งชี้ถึงปัญหาเกี่ยวกับทรัพยากร หน่วยความจำ หรือการใช้งาน CPU

การแก้ไขการจำลองแบบ SymasLDAP

ส่วนนี้จะอธิบายวิธีแก้ไขการจำลองแบบ SymasLDAP

ทำตามขั้นตอนในกระบวนการต่อไปนี้ในโหนดเครื่องมือจำลอง SymasLDAP ซึ่งจำลอง ข้อมูลไปยัง โหนด SymasLDAP อื่น เช่น หากคุณตั้งค่าการจำลองจาก node1 ไปยัง node2 ให้เรียกใช้คำสั่งใน node1

  1. ตรวจสอบสถานะปัจจุบัน 
          /opt/symas/bin/ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    เอาต์พุตควรมีลักษณะคล้ายกับตัวอย่างต่อไปนี้

    olcSyncrepl: {0}rid=001 provider=ldap://{HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1
  2. สร้างไฟล์ repl.lidf แล้ววางคำสั่งต่อไปนี้ลงในไฟล์ 
    dn: olcDatabase={2}mdb,cn=config
changetype: modify
replace: olcSyncRepl
    olcSyncRepl: rid=001
    provider=ldap://{NEW_HOST}:{PORT}/
    binddn="cn=manager,dc=apigee,dc=com"
    bindmethod=simple
    credentials={PASSWORD}
    searchbase="dc=apigee,dc=com"
    attrs="*,+"
    type=refreshAndPersist
    retry="60 1 300 12 7200 +"
    timeout=1

    โปรดตรวจสอบว่าได้แทนที่ตัวยึดตำแหน่งต่อไปนี้ด้วยค่าที่เหมาะสมแล้ว

    • {NEW_HOST}: โฮสต์ SymasLDAP ใหม่ที่คุณวางแผนจะจำลอง
    • {PORT}: พอร์ต SymasLDAP พอร์ตเริ่มต้นคือ 10389
    • {PASSWORD}: รหัสผ่าน SymasLDAP
  3. เรียกใช้คำสั่ง ldapmodify 
          /opt/symas/bin/ldapmodify -x -w {PASSWORD} -D "cn=admin,cn=config" -H "ldap://{HOST}:{PORT}/" -f repl.ldif
    
    The output should be similar to the following:
    
    
    modifying entry "olcDatabase={2}mdb,cn=config"
  4. ยืนยันการจำลอง 
          /opt/symas/bin/ldapsearch -H ldap://{HOST}:{PORT} -LLL -x -b "cn=config" -D "cn=admin,cn=config" -w {PASSWORD} -o ldif-wrap=no 'olcSyncRepl' | grep olcSyncrepl

    เอาต์พุตควรมีลักษณะคล้ายกับตัวอย่างต่อไปนี้ 

    olcSyncrepl: {0}rid=001 provider=ldap://{NEW_HOST}:{PORT}/ binddn="cn=manager,dc=apigee,dc=com" bindmethod=simple credentials={PASSWORD} searchbase="dc=apigee,dc=com" attrs="*,+" type=refreshAndPersist retry="60 1 300 12 7200 +" timeout=1

    คุณสามารถยืนยันว่าการจำลองแบบทำงานได้อย่างถูกต้องโดยอ่านและเปรียบเทียบค่า contextCSN จากแต่ละเซิร์ฟเวอร์และตรวจสอบว่าค่าเหล่านั้นตรงกัน

          /opt/symas/bin/ldapsearch -w {PASSWORD} -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h localhost -p 10389 contextCSN | grep contextCSN

การแก้ปัญหาการจำลองแบบ SymasLDAP

หากการติดตั้งใช้งานของคุณใช้เซิร์ฟเวอร์ SymasLDAP หลายเครื่อง คุณสามารถตรวจสอบการตั้งค่าการจำลองเพื่อ ให้แน่ใจว่าเซิร์ฟเวอร์ทำงานได้อย่างถูกต้อง

  1. ตรวจสอบว่า ldapsearch แสดงข้อมูลจากเซิร์ฟเวอร์ SymasLDAP แต่ละเครื่อง 
    /opt/symas/bin/ldapsearch -W -D "cn=manager,dc=apigee,dc=com" -b "dc=apigee,dc=com" -LLL -h LDAP_IP -p 10389

    ระบบจะแจ้งให้คุณป้อนรหัสผ่านผู้ดูแลระบบ SymasLDAP

  2. ตรวจสอบการกำหนดค่าการจำลองโดยดูไฟล์ /opt/apigee/conf/symasldap/slapd.d/cn=config/olcDatabase={2}mdb.ldif
  3. ตรวจสอบว่ารหัสผ่านของระบบในเซิร์ฟเวอร์ OpenLDAP แต่ละเครื่องเหมือนกัน
  4. ตรวจสอบการตั้งค่า iptables และ tcp wrapper