OpenLdap多主互备配置详解
OpenLdap多主互备配置详解
⽬录
OpenLdap多主互备配置详解 (1)
1. 背景 (3)
2. 安装前提 (3)
3. OpenLdap安装 (3)
4. 配置f (4)
4.1.引⼊⾃定义schema (4)
4.2.配置集群同步⽅案 (4)
f⽂件⽰例 (7)
4.4.注意事项 (11)
5. 附录 (11)
5.1.Berkeley DB安装详解 (11)
5.2.OpenSSL安装详解 (11)
余数函数
1.背景
OpenLdap单向备份,已经不能满⾜⽇益丰富的的业务场景.在OpenLdap2.4的版本中,官⽅已经提供了双向多主备份的配置⽅案(N-Way Multi-Master).
2.安装前提
Berkeley DB
OpenSSL
OpenLdap采取的数据库解决⽅案,默认的是Berkeley DB,可更改,在本⽂档中,采取官⽅默认的⽅案,选择使⽤Berkeley DB,版本为,db-5.0.32.
OpenLdap集群之间的数据传输,采取的SSL协议,因此,需要安装OpenSSL,在本⽂档中,选择使⽤OpenSSL的版本为,openssl-1.0.2l.
3.OpenLdap安装
本⽂档采⽤的OpenLdap版本为openldap-2.4.45.
在安装双向备份的OpenLdap集群时,需要在编译时候,开启部分参数.
tar xvf openldap-2.
cd openldap-2.4.45
开启同步,密码模块
./configure --prefix=/ulic/openldap/openldap --enable-debug --enable-ldap --enable-relay --enable-accesslog --enable-auditlog --enable-syncprov --enable-ppolicy
make depend
make
make install
⾄此,openLdap安装完成.
4.配置f
4.1.引⼊⾃定义schema
include /usr/local/openldap/etc/openldap/schema/core.schema
include /usr/local/openldap/etc/openldap/schema/corba.schema
include /usr/local/openldap/etc/openldap/schema/cosine.schema
include /usr/local/openldap/etc/openldap/schema/inetorgperson.schema
include /usr/local/openldap/etc/openldap/schema/misc.schema
include /usr/local/openldap/etc/openldap/schema/openldap.schema
include /usr/local/openldap/etc/openldap/schema/nis.schema
include /usr/local/openldap/etc/openldap/schema/java.schema
include /usr/local/openldap/etc/openldap/schema/ulic_attributes.schema
include /usr/local/openldap/etc/openldap/schema/ulic_objectclass.schema
春节诗朗诵
4.2.配置集群同步⽅案
4.2.1 引⼊schema
include /usr/local/openldap/etc/openldap/schema/ppolicy.schema
4.2.2 配置集群⽅案
以三台服务器为案例,三台服务器都具有读写功能,且数据保持同步
注意:rverID ,syncrepl rid这两个配置项,每⼀台服务器,都需要配置不⼀样的.
4.2.3 配置密码策略
注意:密码策略的配置,要使⽤ldapbrowr⼯具,按照如下格式,设置属性,可以在创建时候设置,也可以在数据导⼊后,修改节点dn: ou=people,dc=ulic,dc=com,dc=cn
ou: people
objectclass: organizationalUnit
objectclass: top潼关谭嗣同
喜剧英文
objectClass: pwdPolicy
objectClass: pwdPolicyChecker
pwdAllowUrChange: TRUE
pwdAttribute: urPassword
pwdCheckQuality: 0
pwdExpireWarning: 367000
pwdFailureCountInterval: 86400
pwdGraceAuthNLimit: 0
pwdInHistory: 3
pwdLockout: TRUE
pwdLockoutDuration: 0
pwdMaxAge: 367200
pwdMaxFailure: 5
pwdMinAge: 0
pwdMinLength: 8
pwdMustChange: FALSE
龙诞香pwdSafeModify: FALSE
pwdRet: TRUE
4.2.4 拷贝配置⽂件
每⼀台服务器,均可采⽤⼀样的配置.配置好⼀台服务器后,直接拷贝f⽂件,放到其他服务器,集群则可配置完成.
部分重要参数详解:
overlay 配置同步⽅案,OpenLdap有多种同步⽅案,本处采⽤syncprov,全量同步
syncprov-checkpoint配置同步效率,syncprov-checkpoint 100 10的意思为:同步检查,每10分钟或者是每更新100条数据4.3.配置索引
需要对uid建⽴索引,满⾜等于查询,模糊匹配
index uid eq,sub,subinitial,subany,subfinal
如果更改了索引,需要停⽌openldap进程,重构索引,否则,查询时候会查不到数据
./slapindex -d 1
OpenLDAP 索引类型
类型关键字描述搜索⽰例:
Prence pres⽤于想知道属性是否存在的查询。
立冬祝福uid=*Equality eq⽤于查找特定值的查询。
耽美图片uid=42Substring sub⽤于在值的某个位置查找字符串的查询。在此类型中,可以指定其他三个优化类型或使⽤⼀般的 sub 类型。
cn=Sean* subinitial在值的开始处查找字符串的⼦串索引。
cn=Sean* subany在值的中间查找字符串的⼦串索引。
cn=*jone* subfinal在值的末尾查找字符串的⼦串索引。
cn=*SmithApproximate approx⽤于发⾳相似的搜索,以查找听起来像搜索字符串的值。
f⽂件⽰例
炖羊排每台openldap服务器上,除了如下红⾊标记的部分,其他配置均保持⼀致.
红⾊标记的属性:
rverID:本机的服务代码
provider:其他ldap服务器的地址
