openldap-v2.4最新版主從配置詳細(xì)介紹-純手打絕版

woxizishen

openldap-v2.4主從配置

前言:

新版最大的功能就是真正實(shí)現(xiàn)了雙向複製�？梢允�2個主master LDAP互備，也可以使多個MASTER LDAP服務(wù)器備份。無論哪一臺宕機(jī)，只要有一臺master正常，其他宕機(jī)的LDAP服務(wù)器重新啟動起來后，用戶數(shù)據(jù)同步更新。

Openldapv2.3版本以前的同步複製缺點(diǎn)

slurpd守護(hù)進(jìn)程是以推模式操作:
主服務(wù)器推變更到從服務(wù)器

·
它是不可靠的

o
它對replog中的記錄的次序極為敏感

o
它可能很容易失去同步, 這時需要手工干預(yù)來從主目錄重新同步從服務(wù)器數(shù)據(jù)庫

o
它對不可用的服務(wù)器不是非常寬容. 如果一個從服務(wù)器長時間停機(jī),replog可能變得太大以至于slurpd無法處理

·
它只工作在推模式。

(也可以設(shè)成拉模式，rpm安裝方式參數(shù)已詳細(xì)說明，只不過slave那臺不保存任何用戶數(shù)據(jù)。全部數(shù)據(jù)都在master上面修改。類似在master主機(jī)只是建立了一個快捷方式到slave上。)

·
它需要停止和重新啟動主服務(wù)器來增加從服務(wù)器

·
它只支持單一主服務(wù)器復(fù)制





(新版主從配置有五種方式，這裡只講述最基本也是最簡單的Syncrepl主從配置，MirrorMode鏡像模式主從配置，N-Way Multi-Master(多主)三種方式,以及官方網(wǎng)站未提供的一個比較複雜的改造方案。

(新版最基本的同步方式)
1.Syncrepl




該方式是slave服務(wù)器以拉的方式同步master的用戶數(shù)據(jù)

使用該方式，是有缺點(diǎn)的，當(dāng)你修改一個條目當(dāng)中的一個屬性值,尤其是批量修改上萬個條目當(dāng)中的一個屬性值,那麼該方式是不只是簡單的同步這一個屬性值,而是將這上萬個條目一起同步更新過來。



(文字翻譯為增強(qiáng)行的syncrepl)

2.Delta-syncrepl


就是比上面syncrepl多了一個是基於日誌的同步功能哈。通俗的說就是你在master每更改一筆數(shù)據(jù)，那麼就會產(chǎn)生一個日誌文件，你具體修改到哪裡了，然後slave通過你master的日誌進(jìn)行相應(yīng)的修改。所以這個就克服了沒必要把一整個條目都複製過來。條目是什麼？趕緊去翻官方資料吧，英文就是entry。

以上2種方式類似舊版的單向同步功能。



3.N-Way Multi-Master

多主MASTER方式同步LDAP信息。



4.MirrorMode


該方式是服務(wù)器互相以推的方式同步用戶數(shù)據(jù)。

MirrorMode只支持2個主MASTER(並不是說鏡像模式只能做2臺LDAP，而是只有2個MASTER起作用可以推送數(shù)據(jù)出去，其他的LDAP服務(wù)器也會同步更新，只要把提供者指定到這2個MASTER任意一臺即可),當(dāng)你設(shè)定超過2臺的時候，該模式只有最開始設(shè)定的那2臺是MASTER，能主動互相推送數(shù)據(jù)。後面超過的如第三臺LDAP3或LDAP4時，這些自動全部變成單向同步，即只有那2個主MASTER修改用戶數(shù)據(jù)后可以同步到下面的第三臺或第四臺LDAP上， LDAP3，LDAP4做任何動作都無法將數(shù)據(jù)同步到主master上。也不會同不到其他LDAP服務(wù)器上,有點(diǎn)類似老版本slurp的效果。

如果你的企業(yè)有多家公司，而你又不希望太多人有修改同步數(shù)據(jù)權(quán)限，那麼可以使用此方式。













5.Syncrepl Proxy


代理同步。言外之意將保留用戶信息的MASTER主機(jī)隱藏起來，而代理機(jī)上面的LDAP通過Syncrepl從MASTER主機(jī)以拉的方式同步maser用戶數(shù)據(jù)，當(dāng)代理主機(jī)發(fā)生改變時，代理主機(jī)的LDAP又以推的方式將數(shù)據(jù)更新到更下層的slave LDAP服務(wù)器上。而slave LDAP是沒有權(quán)限去更改代理服務(wù)為那臺LDAP用戶信息，只有讀取權(quán)限，什麼，這種情況類似老版本的slurp單向同步功能，並且和老版本slurp一樣可以建立一個快捷方式(這個快捷方式不保留任何數(shù)據(jù)，數(shù)據(jù)全部保留在你去指定的那臺LDAP服務(wù)器上，只是說你可以通過這個快捷方式在slave LDAP服務(wù)器上也可以修改數(shù)據(jù)。該快捷方式具體應(yīng)用可以去查看RPM包方式當(dāng)中安裝方法里有說明。)


6. N-Way Multi-Master自行改造版。官方無配置檔案和說明。

(推薦使用)
可以任意設(shè)定多個mastere和多個slave。一臺LDAP服務(wù)器即可以推送數(shù)據(jù)出去，也可以從別的master主機(jī)拉數(shù)據(jù)過來，





N-Way Multi-Master變種

l
同步方式一:最基本的Syncrepl方式同步。

(Syncrepl是新版主從同步數(shù)據(jù)的方式，用來取代舊版slupd的同步方式。)
這種方式有點(diǎn)類似舊版的同步方式，只能在MASTER上更改數(shù)據(jù)。Slave沒有權(quán)限做任何操作。所以結(jié)合後面的mirror鏡像模式即mirror+syncrepl即可實(shí)現(xiàn)以下用戶數(shù)據(jù)多種同步方式:
   1.jpg (74.42 KB)

2013-10-18 15:29

























1.
從圖上可以看出MASTER1和MASTER2是做的mirror鏡像模式。那麼2個主MASTER是互備的，也就是說2臺都可以更改數(shù)據(jù)。任意一臺MASTER更改數(shù)據(jù)后，都會主動推送數(shù)據(jù)給對方的MASTER。



2.
圖中的四臺slave，全部採用新版最基本的Syncrepl模式，採用該模式后，slave是沒有權(quán)限修改自身數(shù)據(jù)，只能主動從各自的master主機(jī)獲取數(shù)據(jù)來更新。

3.mirror模式不懂沒關(guān)係，後面可以看到，其實(shí)很簡單。



4.同時使用該2種模式的時候，請務(wù)必將主master和從slave之間用戶數(shù)據(jù)手動修改到一樣。



master 主機(jī)配置增加如下參數(shù)

overlaysyncprov
後端工作在overlay模式下



syncprov-checkpoint100 10

同步的滿足條件,當(dāng)滿足修改100個條目或10分鐘主動進(jìn)行推送一次。



syncprov-sessionlog100

會話日志條目的最大數(shù)量



MASTER大致就是增加下面三行,其他的參數(shù)請參照RPM包參數(shù)設(shè)定即可。

overlaysyncprov
syncprov-checkpoint100 10

syncprov-sessionlog100









Slave 主機(jī)配置增加如下參數(shù)



syncrepl rid=123


設(shè)定主機(jī)id號(<rid>必須超過三位數(shù)字)


provider=ldap://172.16.9.132:389


設(shè)定提供者的IP(也就是MASTER主機(jī)IP)

type=refreshOnly
設(shè)定模式為拉

(拉的意思是主動從master上進(jìn)行同步更新數(shù)據(jù))

interval=01:00:00:00
設(shè)定更新時間，一天更新一次

(interval格式day:hour:minitus:
second)設(shè)定一天的話，slave就會每個一天主動從master拉數(shù)據(jù)。

searchbase="dc=kingbright,dc=com"
搜索後綴(搜索根目錄)
filter="(objectClass=*)"

同步搜索時，搜索 objectClass 是 organizationalPerson 的條目,如用星號*表示，則是搜索所有類型。


scope=sub
匹配根目錄下所有條目
(匹配範(fàn)圍: base只與所給的DN相匹配，one只與父條目是所給DN的條目相匹配，sub只與根為所給DN的子樹下是所有條目相匹配
attrs="*,+"



複製所有屬性
#attrs="cn,sn,ou,telephoneNumber,title,l"
複製指定的屬性


schemachecking=off

同步更新時是否開啟檢查schema的一致性


bindmethod=simple
以下三項(xiàng)和舊版本內(nèi)容一樣不做解釋。


binddn="cn=root,dc=kingbright,dc=com"

credentials=3Eg+gKegvZ73HYz5c2c5JA==


SLAVE綜所上述大致增加以下幾行

syncrepl rid=123

provider=ldap://172.16.9.132:389

type=refreshOnly

interval=01:00:00:00

searchbase="dc=kingbright,dc=com"

filter="(objectClass=*)"
scope=sub
attrs="*,+"

schemachecking=off


bindmethod=simple


binddn="cn=root,dc=kingbright,dc=com"

credentials=3Eg+gKegvZ73HYz5c2c5JA==

tiangexuan

你好，作為初學(xué)者，我想請問下mirror mode里面 bindmethod用了simple，所以rootpw必須是明文吧？credentials指的不就是另一臺服務(wù)器的rootpw么？
我試驗(yàn)這樣配置就不能成功的的同步，如果密碼都改成明文就可以。
可不可以指點(diǎn)下用加密過的密碼如何實(shí)現(xiàn)同步呢？

bindmethod=simple
credentials=3Eg+gKegvZ73HYz5c2c5JA==

woxizishen

回復(fù) 2# tiangexuan



bindmethod=simple 機(jī)制不變。(openldap一共三種機(jī)制simple/sasl/kerberos認(rèn)證)，加密也是屬於simple機(jī)制。

這裡還有一個設(shè)定用戶賬號的地方。

credentials=3Eg+gKegvZ73HYz5c2c5JA==       (此參數(shù)本來就暗文明文都支持，我不知道你的版本是多少)



  bindmethod=simple                                         密碼機(jī)制
  binddn="cn=root,dc=kingbright,dc=com"          使用同步的帳號
  credentials=3Eg+gKegvZ73HYz5c2c5JA==        使用同步的密碼
  credentials=a123456                                       也是可以。
請保持主從openldap服務(wù)器上述一致設(shè)定，另外，你把不要把這個同步的密碼理解為別人訪問你的，而是他訪問別人的時候要用到的密碼。



另外你真想提高同步安全性，靠這個md5密碼，純屬沒安全性。你應(yīng)該使用ssl連接同步。不過這個配置比較複雜，給你提供一部份代碼



服務(wù)器A配置如下

syncrepl rid=001
  provider=ldaps://172.16.9.158:636                     B ip地址
  type=refreshAndPersist                              推模式
  retry="5 5 300 +"
  searchbase="dc=kingbright,dc=com"
  attrs="*,+"
  bindmethod=simple
  binddn="cn=root,dc=kingbright,dc=com"
  credentials=3Eg+gKegvZ73HYz5c2c5JA==
  starttls=yes                    開始tls連接
tls_cert=/usr/local/etc/openldap/cacerts/newcert.cert  服務(wù)器A的證書
tls_key=/usr/local/etc/openldap/cacerts/newreq.key   服務(wù)器A的私鑰
tls_cacert=/usr/local/etc/openldap/cacerts/cacert.pem  服務(wù)器A的CA證書
  tls_reqcert=never                      不要求對方提供證書和私鑰

tiangexuan

回復(fù) 3# woxizishen
你好~謝謝你的耐心解答。

1. 我用的版本是openldap-2.4.23-31.el6.x86_64 。
2. 我看到openldap的手冊里是這么寫的，所以我理解為simple模式只能用明文做密碼。
A  bindmethod  of  simple  requires  the        options   binddn   and              credentials  and        should        only  be  used        when adequate security              services (e.g. TLS or IPSEC) are        in  place.   REMEMBER:        simple              bind  credentials  must  be  in cleartext!
3. 還有這句話“你把不要把這個同步的密碼理解為別人訪問你的，而是他訪問別人的時候要用到的密碼�！蔽也皇翘貏e理解。指的是兩個服務(wù)器之間的訪問密碼么？4. 我的服務(wù)器是這么配的。A和B的控制賬號和密碼完全相同，只是ip不同。當(dāng)我密碼用明文的時候就可以同步，但是密碼如果用的是密文就不能同步。是不是我其他的配置有問題呢？5. 還有database monitor這個數(shù)據(jù)庫到底是起什么作用的呢？一直不明白為什么要配置這個數(shù)據(jù)庫。6. sasl加密沒有tls安全么？
服務(wù)器Amoduleload syncprov.la
database        bdbsuffix          "dc=****,dc=****"checkpoint        1024 15
rootdn          "cn=manager,dc=***,dc=***"
rootpw          {SSHA}cXUVsI2kuKNK9kjCagWtvraossyAKuhX
directory       /var/lib/ldap/tmsr
access to *        by self write        by * read

# Indices to maintain for this databaseindex objectClass,entryCSN,entryUUID                       eq,presindex ou,cn,mail,surname,givenname      eq,pres,subindex uidNumber,gidNumber,loginShell    eq,presindex uid,memberUid                     eq,pres,subindex nisMapName,nisMapEntry            eq,pres,sub
serverID 1   (A和B服務(wù)器這里是不同的）
syncrepl  rid=111          provider=ldap://*****   (A和B服務(wù)器這里是對方的IP）          bindmethod=simple          binddn="cn=manager,dc=***,dc=***"          credentials={SSHA}cXUVsI2kuKNK9kjCagWtvraossyAKuhX          searchbase="dc=****,dc=***"          schemachecking=on          type=refreshAndPersist          retry="60 +"mirrormode onoverlay syncprovsyncprov-checkpoint 100 10syncprov-sessionlog 100
#enable monitoringdatabase monitor# allow onlu rootdn to read the monitoraccess to attrs=userPassword,shadowLastChange        by self write        by users read        by anonymous auth#       by * noneaccess to *        by dn.exact="cn=manager,dc=tmsr,dc=org" write#        by * read        by users read        by anonymous read


   

send_linux

woxizishen 發(fā)表于 2013-11-01 11:49
openldap-v2.4主從配置

前言:

這個里面，好多圖片出不來呢

jiadong8011

樓主你發(fā)的關(guān)于LDAP的貼子我已經(jīng)拜讀了，很是膜拜，N年前就已經(jīng)達(dá)到這樣的高度，實(shí)在是厲害

woxizishen

2004年那個ipenldap超級古董貼就別看了，看看本小版豬發(fā)的2.4版，雖然是8年前研究的最新版，但小版主可以和你吹吹水目前仍然是比較新的架構(gòu)，國內(nèi)絕版