Ativando a sincronização no consumidor e ldap do provedor

Navegue suas respostas
2

Eu sou completamente novo no ldap (openldap neste caso). Meu chefe me deu a tarefa de criar um segundo servidor ldap e copiar os dados do servidor ldap existente para o novo servidor que criei.

Eu consegui fazer isso lendo documentação e fazendo muito do google. Em qualquer caso, para o novo servidor ldap, copiei o arquivo slapd.conf do servidor ldap existente e executei o comando slaptest -f slapd.conf -F slapd.d Isso criou o cn = config.

Meu chefe testou o ambiente. Funciona bem, mas agora ele está me pedindo para fazer uma sincronização unidirecional do servidor ldap existente para o novo que acabou de ser criado.

Novamente, depois de ler a documentação e fazer muito do google, acho que finalmente sei o que precisa ser feito.

Este novo servidor ldap não está sendo usado, e eu realmente não sei como usar o ldapmodify ou qualquer ferramenta do cliente ldap para esse assunto, para adicionar os parâmetros abaixo. Na verdade, estou planejando excluir o conteúdo no diretório slapd.d, atualizar o arquivo slapd.conf com os novos parâmetros e executar novamente o slaptest -f slapd.conf -F slapd.d para recriar o cn = config com os novos parâmetros. Eu sei que não é a melhor maneira de fazer isso, mas deve funcionar.

- sync consumer

syncrepl

rid = 123

type = RefreshandPersist

provider = ldaps: //ldap-master.example.com: 389

bindmethod = simple

searchbase="dc = exemplo, dc = com"

retry="10 6 60 +"

attrs="cn, sn, displayName, nomeNome, e-mail, uid"

binddn="cn = Gerente, dc = teste, dc = exemplo, dc = com"

credenciais = {SSHA} senha

Agora, esse método de atualizar o cn = config não funcionará para as alterações que precisam ser feitas no provedor da réplica para ativar a sincronização.

Até onde eu sei, só preciso adicionar uma linha:

overlay syncprov

Minha pergunta é como adicionar essa linha ao cn = config no servidor ldap existente e em funcionamento? Obviamente, não consigo recriar a configuração usando o slaptest.

Sua ajuda e sugestões são muito apreciadas

-V

    
por Victor 25.10.2017 / 04:21

1 resposta

1

A resposta curta é que você precisa se familiarizar com o uso de ldapmodify , a man-page contém exemplos que mostram como fazer alterações.

Sem saber como seu servidor LDAP está configurado, não posso dar uma resposta simples "faça isso". No entanto, você precisa fazer algo semelhante ao seguinte: 

# ldapmodify -Y EXTERNAL -H ldapi:///
dn: olcOverlay=syncprov,olcDatabase={1}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
^D

Este é o cn=config equivalente de ter overlay syncprov no arquivo slapd.conf . Mas estou supondo que você a) tenha apenas o backend do banco de dados LDAP configurado, b) Você está usando o backend HDB, c) as conexões LDAPI são permitidas. Isso também não configura um usuário a ser usado para conectar-se a partir do novo servidor LDAP, nem configurar qualquer ACL para permitir que ele leia tudo, etc.

Recomendamos que você leia a documentação do OpenLDAP, particularmente o link que abrange a configuração da replicação.

    
por 27.10.2017 / 16:35

Tags

Uma verificação de serviço pode ser limitada a hosts com um atributo personalizado definido? Como adicionar nova tentativa de comando às verificações do sensu?