LDAP: slozitejsi replikace

Pavel Lisy pali na tmapy.cz
Středa Listopad 5 09:57:50 CET 2003 

Dobrý den,

potřebuji vyřešit následující situaci:

Firma má více poboček propojených VPN. Správu uživatelů chci převést do
LDAP. Moje představa je taková, že bude existovat jeden ldap strom
dc=firma,dc=cz. V každém městě bude LDAP server, který se bude mezisebou
replikovat.

Původně jsem si myslel, že by na každém serveru byla založena LDAP
databáze "dc=mestoX,dc=firma,dc=cz", která by měla master na lokále a
replikovala by se do ostatních měst. To ale naráží na problém, že pokud
bych chtěl proti takové LDAP databázi (s více rooty) ověřovat apache
(mod_auth_ldap nebo tak nejak), tak to údajně nelze. Prý musí být pouze
jeden root, tj. jediná LDAP databáze. 

Je to pravda, nelze ověřoval apache vůči více LDAP stromům současně?


Proto jsem to chtěl obejít tak, že udělám pouze jeden strom
"dc=firma,dc=cz" část stromu bude master a část slave. 

Není mi jasné, je to tak vůbec možné nakonfigurovat?

Připadá mi že replikace části podstromu je možná (s použitím suffix v
definicireplica), jen nevím, jak zajistit, aby např. ve městě "mesto1"
nekdo needitoval podstrom
"dc=mesto2,dc=firma,dc=cz", protože nevím, jak zapsat updateref s
podstromem. 

Je to vůbec možné?

Předem děkuji za rady a náměty.

------------------
moje konfigurace:

na server1 mam v /etc/openldap/slapd.conf toto:

database	ldbm
suffix		"dc=firma,dc=cz"
rootdn		"cn=Manager,dc=firma,dc=cz"
rootpw	secret
directory	/var/lib/ldap/firma.cz
index	objectClass,uid,uidNumber,gidNumber,memberUid	eq
index	cn,mail,surname,givenname			eq,subinitial

###############
# mesto1.firma.cz    I AM MASTER
###############
replica host=server2.firma.cz:389 tls=yes
   suffix="dc=mesto1,dc=firma,dc=cz"
   binddn="cn=repl,dc=mesto1,dc=firma,dc=cz"
   bindmethod=simple credentials=secretx

replogfile	/var/lib/ldap/replogs/mesto1_firma_cz.replog

# ################
# # mesto2.firma.cz  I AM SLAVE
# ################
updatedn  "cn=repl,dc=mesto2,dc=firma,dc=cz"
updateref ldap://server2.firma.cz/
 

na server2 mam v /etc/openldap/slapd.conf toto:
###############
# mesto1.firma.cz
###############
database ldbm
suffix      "dc=firma,dc=cz"
rootdn      "cn=Manager,dc=firma,dc=cz"
rootpw      secret
directory   /var/lib/ldap/firma.cz
index	objectClass,uid,uidNumber,gidNumber,memberUid	eq
index	cn,mail,surname,givenname			eq,subinitial

###############
# mesto1.firma.cz    I AM SLAVE
###############
updatedn  "cn=repl,dc=mesto1,dc=firma,dc=cz"
updateref ldap://server1.firma.cz

################
# mesto2.firma.cz  I AM MASTER
################
# Replicas to which we should propagate changes
replica host=server1.firma.cz:389 tls=yes
   suffix="dc=mesto2,dc=firma,dc=cz"
   binddn="cn=repl,dc=mesto2,dc=firma,dc=cz"
   bindmethod=simple credentials=secretx

replogfile  /var/lib/ldap/replogs/mesto2_firma_cz.replog


-- 
Pavel Lisy <pali na tmapy.cz>
T-MAPY spol. s r.o.

Další informace o konferenci Linux