Replicação do OSX OpenDirectory para o OpenLDAP

5

Eu tenho um servidor OpenDirectory em execução em uma máquina do OSX Server e gostaria de aumentar a confiabilidade do serviço por ter um servidor escravo. O problema é que eu só tenho 1 servidor OSX, mas tenho muitos servidores Linux disponíveis. Estou feliz com as ferramentas da Apple que se integram ao OpenDirectory, mas dada a recente descontinuidade da Apple do XServe, não estou particularmente interessado em continuar com o hardware da Apple.

Eu me lembro de ouvir que o OpenDirectory é (agora distante) baseado na base de código do OpenLDAP; Existe alguma maneira que eu poderia replicar do OpenDirectory para o OpenLDAP em vez de ter que comprar outro servidor OSX?

    
por natacado 02.01.2011 / 04:21

1 resposta

8

Classificar de. Um domínio Open Directory é na verdade 3 serviços semi-integrados: LDAPv3 para a maioria dos dados (fornecido por um servidor OpenLDAP razoavelmente padrão), Kerberosv5 KDC para autenticação de conexão única (fornecida pela implementação Kerberos do MIT, com alguns ajustes) e um SASL- servidor de senhas baseado em outros tipos de autenticação (fornecido por algo pelo menos parcialmente baseado em um projeto SASC da CMU).

A replicação do componente LDAP não deve ser muito difícil - configure o syncrepl como em qualquer outra implementação do OpenLDAP, em seguida, adicione a (s) URL (s) extra (s) como valores do atributo apple-ldap-replica do cn = ldapreplicas, cn = config, whateveryoursearchbase é um registro no LDAP (isso informa aos clientes sobre a (s) réplica (s).

O serviço de senha e o Kerberos são muito mais difíceis. Tanto quanto eu posso dizer, a Apple estendeu o código CMU SASL consideravelmente, então eu não acho que será possível copiá-lo sem esforço maciço. O Kerberos seria fácil ... exceto que depende do servidor de senha para replicação (os servidores de senha em uma rede de réplica atualizam um ao outro sobre novas senhas e, em seguida, cada um é responsável por atualizar o Kerberos KDC no mesmo servidor). Observe que há também registros LDAP sob cn = config informando aos clientes onde estão todos os servidores de senha e KDCs disponíveis; o Kerberos é bastante óbvio, mas o servidor de senha é mais difícil de entender.

Assim, você pode fazer a replicação LDAP, mas não acredito que as réplicas do servidor de senha e do KDC sejam práticas. E se você não tiver esses serviços com backup, não há muito benefício em replicar o LDAP.

Se é apenas tempo de atividade que você está preocupado, que tal adicionar um dos servidores Mac Mini como uma réplica? Eles não estão preparados para uma alta taxa de transferência por qualquer meio, mas como um backup de emergência, eu os considero a coisa certa.

    
por 02.01.2011 / 07:51