LDAP: slozitejsi replikace
Petr Dadak
dadak na gvid.cz
Středa Listopad 5 23:01:38 CET 2003
Wed, Nov 05, 2003 at 09:57:50AM +0100, Pavel Lisy Napsal:
> Dobrý den,
>
> potřebuji vyřešit následující situaci:
>
> Firma má více poboček propojených VPN. Správu uživatelů chci převést do
> LDAP. Moje představa je taková, že bude existovat jeden ldap strom
> dc=firma,dc=cz. V každém městě bude LDAP server, který se bude mezisebou
> replikovat.
>
> Původně jsem si myslel, že by na každém serveru byla založena LDAP
> databáze "dc=mestoX,dc=firma,dc=cz", která by měla master na lokále a
> replikovala by se do ostatních měst. To ale naráží na problém, že pokud
> bych chtěl proti takové LDAP databázi (s více rooty) ověřovat apache
> (mod_auth_ldap nebo tak nejak), tak to údajně nelze. Prý musí být pouze
> jeden root, tj. jediná LDAP databáze.
pokud to dobre chapu a nesedim si na vedeni, tak uvaha je to pekna.
a myslim ze pujde donutit mod_auth_ldap(tak nejak :-) ), aby hledal
zaznam uzivatele v celem podstromu dc=firma,dc=cz, takze bude jedno
ze ktereho uzivatel je(asi to bude vyzadovat disjunktni loginy
v celem tom podstromu).
Jestli ten mod_auth_ldap umi overovat zaraz proti vice serverum,
vybrat si ten co je dostupny|funkcni netusim.
>
> Je to pravda, nelze ověřoval apache vůči více LDAP stromům současně?
>
>
> Proto jsem to chtěl obejít tak, že udělám pouze jeden strom
> "dc=firma,dc=cz" část stromu bude master a část slave.
>
> Není mi jasné, je to tak vůbec možné nakonfigurovat?
>
> Připadá mi že replikace části podstromu je možná (s použitím suffix v
> definicireplica), jen nevím, jak zajistit, aby např. ve městě "mesto1"
> nekdo needitoval podstrom
pokud pouzijete puvodni reseni, jak jsem psal, tak tohle osetrite pomoci
acl.
--Petr Dadak
> "dc=mesto2,dc=firma,dc=cz", protože nevím, jak zapsat updateref s
> podstromem.
>
> Je to vůbec možné?
>
> Předem děkuji za rady a náměty.
>
> ------------------
> moje konfigurace:
>
> na server1 mam v /etc/openldap/slapd.conf toto:
>
> database ldbm
> suffix "dc=firma,dc=cz"
> rootdn "cn=Manager,dc=firma,dc=cz"
> rootpw secret
> directory /var/lib/ldap/firma.cz
> index objectClass,uid,uidNumber,gidNumber,memberUid eq
> index cn,mail,surname,givenname eq,subinitial
>
> ###############
> # mesto1.firma.cz I AM MASTER
> ###############
> replica host=server2.firma.cz:389 tls=yes
> suffix="dc=mesto1,dc=firma,dc=cz"
> binddn="cn=repl,dc=mesto1,dc=firma,dc=cz"
> bindmethod=simple credentials=secretx
>
> replogfile /var/lib/ldap/replogs/mesto1_firma_cz.replog
>
> # ################
> # # mesto2.firma.cz I AM SLAVE
> # ################
> updatedn "cn=repl,dc=mesto2,dc=firma,dc=cz"
> updateref ldap://server2.firma.cz/
>
>
> na server2 mam v /etc/openldap/slapd.conf toto:
> ###############
> # mesto1.firma.cz
> ###############
> database ldbm
> suffix "dc=firma,dc=cz"
> rootdn "cn=Manager,dc=firma,dc=cz"
> rootpw secret
> directory /var/lib/ldap/firma.cz
> index objectClass,uid,uidNumber,gidNumber,memberUid eq
> index cn,mail,surname,givenname eq,subinitial
>
> ###############
> # mesto1.firma.cz I AM SLAVE
> ###############
> updatedn "cn=repl,dc=mesto1,dc=firma,dc=cz"
> updateref ldap://server1.firma.cz
>
> ################
> # mesto2.firma.cz I AM MASTER
> ################
> # Replicas to which we should propagate changes
> replica host=server1.firma.cz:389 tls=yes
> suffix="dc=mesto2,dc=firma,dc=cz"
> binddn="cn=repl,dc=mesto2,dc=firma,dc=cz"
> bindmethod=simple credentials=secretx
>
> replogfile /var/lib/ldap/replogs/mesto2_firma_cz.replog
>
>
> --
> Pavel Lisy <pali na tmapy.cz>
> T-MAPY spol. s r.o.
>
>
-----------------------------------------------------------------------
Petr Dadák exAdmin of eniac.gvid.cz
E-mail: dadak na gvid.cz
xdadak1 na fi.muni.cz
http://www.gvid.cz/dadak/
Další informace o konferenci Linux