GoldenLine
Zaloguj się

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

Jak tego dokonac?
Link do wypowiedziLink
Michał Panasiewicz

Michał Panasiewicz Administrator
systemów, sieci i
aplikacji.

Temat: Opensuse 11.x+openldap replikacja

skonfigurować replikacje korzystając z syncrepl
http://www.google.pl/search?q=openldap+syncrepl
pierwsze 4 główne wyniki powinny tobie wystarczyć.
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

Wlasnie spodziewalem sie niestety takiej odpowiedzi - czyli nic nie wnoszocej do sprawy. W OpenSuse i zdaje sie ze we wszystkich *suse* te metody nie skutkuja - dlaczego? ano dlatego ze w *suse* niema slapd.conf nigdzie.

Prosze o inne info.
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

Ja korzystałem z tego: http://en.opensuse.org/Howto_setup_SUSE_11.1_as_Samba_PDC
Niestety, work in progress od roku ;(
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

Marcin Bojko:
Ja korzystałem z tego: http://en.opensuse.org/Howto_setup_SUSE_11.1_as_Samba_PDC
Niestety, work in progress od roku ;(

z samba sobie poradzilem mam tam wsio i o dziwo dziala bez zarzutu, kosz na publicznym to swietna rzecz, ochrona antywirusowa w locie tez super. Uwierzytelnianie ldap tez smiga, to wymuszanie hasel narazie odlozylem na pozniej - dziala to przez ldap ale dopiero w 11.2.
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

Rafał Włodarczyk:
Wlasnie spodziewalem sie niestety takiej odpowiedzi - czyli nic nie wnoszocej do sprawy. W OpenSuse i zdaje sie ze we wszystkich *suse* te metody nie skutkuja - dlaczego? ano dlatego ze w *suse* niema slapd.conf nigdzie.

Prosze o inne info.

To sugeruję $(man slapd) i zajrzeć do dość rozbudowanej dokumentacji (choć bez rewelacji): http://www.openldap.org/doc/admin24/.
Brak pliku slapd.conf oznacza, że w susie podobnie jak ubuntu (i pewnie debianie) używany jest nowy sposób konfiguracji, trzymana jest ona bezpośrednio w LDAP'ie w gałęzi "cn=config" (ale nie w bazie bdb a w plikach ldif), upraszcza to cały proces konfiguracji w przypadku właśnie replikacji, bo i konfiguracja (wliczając w to schematy) jest replikowana. Oczywiście nic nie stoi na przeszkodzie, żeby dalej używać pliku slapd.conf trzeba pozbyć się parametru "-F /etc/openldap/slapd.conf.d" i dodać "-f /etc/openldap/slapd.conf" (czy jakoś tak, wszystko ładnie opisane w manualu).
A co do samej replikacji to z doświadczenia radzę użyć overlay'a accesslog, bo bez niego slave'y nie zawsze łapały mi zmiany na masterze, aktualnie rozważam migrację na sun'owskie DSEE bo i tak ciągle mam drobny problem z replikacją, czasem jak user zmieni sobie hasło to na slave'ie może się zbindować używając SASL'a ale simple bind już nie działa, tylko zaciągnięcie bazy z mastera na nowo pomaga.
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

Moge cie prosic o przyblizenie tego tematu tak bardziej lopatologicznie?
Link do wypowiedziLink
Michał Panasiewicz

Michał Panasiewicz Administrator
systemów, sieci i
aplikacji.

Temat: Opensuse 11.x+openldap replikacja

na priv już mówiłem ci o cn=config, na przykład tutaj masz opisy:
http://www.zytrax.com/books/ldap/ch14/ldapbrowser.html...
http://www.zytrax.com/books/ldap/ch6/slapd-config.html
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

Rafał Włodarczyk:
Moge cie prosic o przyblizenie tego tematu tak bardziej lopatologicznie?

Master-Slave

Na masterze:

1. baza dla overlay'a accesslog
database hdb
suffix cn=accesslog
directory /var/lib/ldap/accesslog # zrób katalog bo się wykrzaczy
rootdn cn=accesslog
index default eq
index entryCSN,objectClass,reqEnd,reqResult,reqStart

overlay syncprov
syncprov-nopresent TRUE
syncprov-reloadhint TRUE

2. baza główna
database hdb
suffix "dc=company,dc=com"
[...]
overlay syncprov # provider repliklacji
syncprov-checkpoint 100 10
syncprov-sessionlog 100

overlay accesslog # overlay accesslog, zapisuje zmiany w bazie w postaci changeloga dzięki czemu slave'y nie muszą skanować całego drzewa
logdb cn=accesslog
logops writes
logsuccess TRUE
logpurge 7+00:00 01+00:00 # trzyma w changelogu zmiany z ostatniego tygodnia

Na slave'ie

database hdb
suffix "dc=company,dc=com"
[...]
provider=ldap://ldap-master.com
type=refreshAndPersist
interval=00:00:01:00
retry="60 +"
searchbase="dc=company,dc=com"
filter="(objectClass=*)"
scope=sub
schemachecking=off
bindmethod=sasl
saslmech=DIGEST-MD5
authcid="replica" # pamiętaj że musisz zrobić odpowiednie konto w bazie
credentials="hasło"
starttls=yes
logbase="cn=accesslog"
logfilter="(&(objectClass=auditWriteObject)(reqResult=0))"
syncdata=accesslog

updateref ldap://ldap-slave.com # przy próbie zapisu do slave'a odsyłaj klienta do mastera

loglevel sync # loguj tylko informacje o replikacji co by ją było łatwo debugować

i to z grubsza tyle, na slave'ie możesz zmienić logowanie na simple bind zamiast SASL'a (opcja bindmethod) to nie będziesz musiał konfigurować regex'ów do SASL'a a hasła będą mogły być szyfrowane w bazieŁukasz M. edytował(a) ten post dnia 17.01.10 o godzinie 12:33
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

to jednak na ta chwile dla mnie zbyt ciezka konfiguracja.
Acha powiem wam do czegomi to potrzebne bo moze nie koniecznie musze robic replikacje
mam serwerek z wlasnie owym ldapem i w nim userow firmowych nie zmieniaja sie czesta,jak narazie zadna z firm holdingowych nie chce przejsc na domene z samby poniewaz nikt zaden z owych informatykow niema wiedzy jak zainstalowac linuxa a co dopiero o jakiejkolwiek konfiguracji. Tak wiec ja chce zrobic tylko i wylacznie (raz w tygodniu, lub zadziej tzn przy jakiejs zmianie) backup configuracji ldap takaby gdyby wywalil mi sie serwerek czy cokolwiek by sie stalo bym mogl to wsio przeniesc na jakas tymczasowa maszyne. Musze dorobic do tego jeszcze domene sambowa ale to chyba prostrze wiec moze wystarczy jak tylko zarchiwizuje sobie katalog /etc/openldap ?
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

Pamiętaj, że replikacja != backup, nie ważne czy to ldap czy sql. Replikacje robisz głównie by mieć HA, backup robisz zawsze bo czasem trzeba cofnąć czas.
Rafał Włodarczyk:
moze wystarczy jak tylko zarchiwizuje sobie katalog /etc/openldap ?

Backup konfiguracji (czyli /etc/openldap) + `slapcat > dump.ldif` i masz pełen backup. slapcat wypluje dump bazy w formacie ldif, czyli tekstowym.
Restore wygląda tak:
1. odtwarzasz konfigurację (czyli w skrócie `cp backup /etc/openldap`)
2. slapadd -f dump.ldif (jako root albo user na którym działa slapd)
3. jak #2 robiłeś jako root ot poprawiasz uprawnienia w /var/lib/ldap (czy gdzie masz bazę): chown -R ldap:ldap /var/lib/ldap
4. odpalasz slapd

dump może zawierać hasła w postaci jawnej więc wypada go pilnowaćŁukasz M. edytował(a) ten post dnia 17.01.10 o godzinie 21:57
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

dzieki oto wlasnie chodzilo

po slapcat mam taki komunikat

slapcat > dump.ldif
hdb_monitor_db_open: monitoring disabled; configure monitor database to enable

kurna wszedzie schody

tan man do opensuse to tez jakas kutwa, gdzie niby mam se wpisac te cn=monitor aby zalaczyc monitor - kurcze chyba musze is sobie ksiazke kupic

oficjalna strona OpenLdap - zeby nie bylo ze jestem leser i zadaje tu pytanko nie sprawdziwszy z dokumentacja - teraz troche zaluje ze mam tego ldapa ech

20.1. Monitor configuration via cn=config(5)

This section has yet to be written.

PS.
Chyba sie z tym ldap-em to wpieprzylem na mine
chcialem sobie zaimportowac plik ktory na bank jest ok bo to przykladowy plik slapd.conf wiec jak wspomnialem chcialem sobie go importnac slapdadd jak kolega napisal i co i niestety blad:
hdb_monitor_db_open: monitoring disabled; configure monitor database
backend_startup_one: bi_db_open failed! (-1)
slap_startup failed

Jestem zalamany bo to znaczy ze ani nie moge wyeksportowac konfiguracji ani jej zmienic a to znaczy ze moje bezpieczenstwo zmalalo do zera.Rafał Włodarczyk edytował(a) ten post dnia 18.01.10 o godzinie 15:35
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

Rafał Włodarczyk:
hdb_monitor_db_open: monitoring disabled; configure monitor database to enable

upewnij się, że masz załadowany moduł do obsługi tego backendu:

moduleload back_monitor
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

Łukasz M.:
Rafał Włodarczyk:
hdb_monitor_db_open: monitoring disabled; configure monitor database to enable

upewnij się, że masz załadowany moduł do obsługi tego backendu:

moduleload back_monitor

tak posluchaj mnie - to moduleload costam cos to gdzie mam sobie szukac?
w configuracji opensuse niema takiego pliku w ktorym moglbym to znalezc i dlatego tytul dalem opensuse+ldap gdyz wydaje mi sie ze to jest wazne :(

aha dodam iz sprawdzilem w manualu przerobilem plik /etc/init.d/ldap tak aby wskazywal na plik slapd.conf abym mogl po staremu konfigurowac i co ano mam taki wynik przy probie startu slapd

Starting ldap-serverstartproc: exit status of parent of /usr/lib/openldap/slapd: 1 failed

w tej wersji openldap 2.4.3 raczej to nie dzialaRafał Włodarczyk edytował(a) ten post dnia 19.01.10 o godzinie 09:45
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

Rafał Włodarczyk:
Łukasz M.:
Rafał Włodarczyk:
hdb_monitor_db_open: monitoring disabled; configure monitor database to enable

upewnij się, że masz załadowany moduł do obsługi tego backendu:

moduleload back_monitor

tak posluchaj mnie - to moduleload costam cos to gdzie mam sobie szukac?
w configuracji opensuse niema takiego pliku w ktorym moglbym to znalezc i dlatego tytul dalem opensuse+ldap gdyz wydaje mi sie ze to jest wazne :(

W slapd.conf, openldap to openldap, dopóki dystrybucja nie dorzuci jakichś mega rewolucyjnych patchy, które przerabiają całkiem soft to nie ma znaczenia na jakiej dystrybucji to odpalasz.
aha dodam iz sprawdzilem w manualu przerobilem plik /etc/init.d/ldap tak aby wskazywal na plik slapd.conf abym mogl po staremu konfigurowac i co ano mam taki wynik przy probie startu slapd

Starting ldap-serverstartproc: exit status of parent of /usr/lib/openldap/slapd: 1 failed

w tej wersji openldap 2.4.3 raczej to nie dzialaRafał Włodarczyk edytował(a) ten post dnia 19.01.10 o godzinie 09:45

slaptest prawdę Ci powie odnośnie poprawności konfiguracji w slapd.conf.
A gwoli ścisłości pełen konfig do bazy monitoringu wygląda tak:

# ładujemy moduł odpowiedzialny za statystyki
moduleload back_monitor

# definiujemy bazę monitoringu
database monitor

# opcjonalna regułka dostępu do drzewka ze statystykami, musi być pod "database monitoring"
access to *
by dn.base="uid=stats,company,dc=com" read
by * none
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

znalazlem sobie opis jak to przelaczyc w opensuse do slapd.conf i to sobie zrobilem i o dziwo zadzialalo, teraz czeka mnie zmudna konfiguracja reczna tego wszystkiego. Niestety bede musial sobie wsio otworzyc recznie gdyz zaden zrzut z cn=config tu nie dziala a szkoda
dzieki za poswiecony czas jak cos to sie odezwe

No niestety w suse albo zrobisz to przez cn albo wcale bo tak:
1. brak back-monitor
sa tylko backendy perla i meta
2. slaptest mowi ze ok a slapd nie startuje - w logu bald zly DN no nie wiem wydawalo mi sie ze dobry skopiowalem ale do niego to nie przemawia.

Ogolnie wsio jest inneRafał Włodarczyk edytował(a) ten post dnia 19.01.10 o godzinie 13:12
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

Łukasz M.:
Rafał Włodarczyk:
Łukasz M.:
Rafał Włodarczyk:
hdb_monitor_db_open: monitoring disabled; configure monitor database to enable

upewnij się, że masz załadowany moduł do obsługi tego backendu:

moduleload back_monitor

tak posluchaj mnie - to moduleload costam cos to gdzie mam sobie szukac?
w configuracji opensuse niema takiego pliku w ktorym moglbym to znalezc i dlatego tytul dalem opensuse+ldap gdyz wydaje mi sie ze to jest wazne :(

W slapd.conf, openldap to openldap, dopóki dystrybucja nie dorzuci jakichś mega rewolucyjnych patchy, które przerabiają całkiem soft to nie ma znaczenia na jakiej dystrybucji to odpalasz.
aha dodam iz sprawdzilem w manualu przerobilem plik /etc/init.d/ldap tak aby wskazywal na plik slapd.conf abym mogl po staremu konfigurowac i co ano mam taki wynik przy probie startu slapd

Starting ldap-serverstartproc: exit status of parent of /usr/lib/openldap/slapd: 1 failed

w tej wersji openldap 2.4.3 raczej to nie dziala

slaptest prawdę Ci powie odnośnie poprawności konfiguracji w slapd.conf.
A gwoli ścisłości pełen konfig do bazy monitoringu wygląda tak:

# ładujemy moduł odpowiedzialny za statystyki
moduleload back_monitor

# definiujemy bazę monitoringu
database monitor

# opcjonalna regułka dostępu do drzewka ze statystykami, musi być pod "database monitoring"
access to *
by dn.base="uid=stats,company,dc=com" read
by * none

Juz wiem dla potomnych to co powyzej do slapd.conf
nastepnie slaptest
jesli ok to slaptest -f slapd.conf -F slapd.d

i mamy piekny monitoring
dla ulatwienia z replikacja postepujemy tak jak powyzej tylko jedna uwaga w opensuse jak i w wiekszosci dystrybucji w ktorych jest openldap 2.4.x nie wystepuja backendy aby je zdobyc nalezy wziac sobie z ktorejs dystrybucji tzn: fedora lub mandriva pakiet nazywa sie : openldap-servers-overlays.*rpm

Pozdrawiam wszystkich czule :)

Acha na koniec nalezy zrestartowac serwer /etc/init.d/ldap restartRafał Włodarczyk edytował(a) ten post dnia 20.01.10 o godzinie 22:43
Link do wypowiedziLink
Michał Panasiewicz

Michał Panasiewicz Administrator
systemów, sieci i
aplikacji.

Temat: Opensuse 11.x+openldap replikacja

Rafał Włodarczyk:
znalazlem sobie opis jak to przelaczyc w opensuse do slapd.conf i to sobie zrobilem i o dziwo zadzialalo, teraz czeka mnie zmudna konfiguracja reczna tego wszystkiego. Niestety bede musial sobie wsio otworzyc recznie gdyz zaden zrzut z cn=config tu nie dziala a szkoda
...
post dnia 19.01.10 o godzinie 13:12[/edited]

IMHO zamiast kombinować skonfigurowałbyś sobie OpenLdap przez cn=config, i tak jest to kierunek w którym będzie szła konfiguracja OpenLdap-a, nie mówiąc o tym że masz możliwość zarządzania wszystkim z jednego miejsca, bez grzebania w plikach konfiguracyjnych.
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

konfiguracja zaauwansowana nie jest narazie wspierana przez yast ale mysle ze w wersji12 tego systemu juz bedzie mozna to zrobic :)

Natomiast tymprogramem ldap browser nie mozna tego zrobic, reczna konfiguracja imho pisanie ldiif to tez nie jest wyjscie gdyz jest to bardziej skomplikowane nic slapd - tak wiec narazie pozostaje import ze starego sposobu.

Ogolnie to oprogramowanie co linka podales na poczatku jest i byloby ok ale nie w darmowej wersji - otoz w tej wersji mozna sobie tylko poogladac :)Rafał Włodarczyk edytował(a) ten post dnia 25.01.10 o godzinie 08:33
Link do wypowiedziLink

konto usunięte

Temat: Opensuse 11.x+openldap replikacja

Backup konfiguracji (czyli /etc/openldap) + `slapcat > dump.ldif` i masz pełen backup. slapcat wypluje dump bazy w formacie ldif, czyli tekstowym.
Restore wygląda tak:
1. odtwarzasz konfigurację (czyli w skrócie `cp backup /etc/openldap`)
2. slapadd -f dump.ldif (jako root albo user na którym działa slapd)
3. jak #2 robiłeś jako root ot poprawiasz uprawnienia w /var/lib/ldap (czy gdzie masz bazę): chown -R ldap:ldap /var/lib/ldap
4. odpalasz slapd

backup udany, testowo wrzutka na inny server:

slapadd -f dump.ldif

konczy sie komunikatem:
ldap_back.ldif: line 1: unknown directive <dn:> outside backend info and database definitions.
slapadd: bad configuration file!

i co teraz mam backup i co z tym moge zrobic oprocz wydrukowania i uzycia tego w toalecie?
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj