====== Réplication multi-maitre ======
===== Installation =====
Ce tuto va partir expliquer l'installation sur deux serveurs pré-installé en Debian Squeeze, d'OpenLDAP configuré en réplication multi-maitre.
==== Installation du premier serveur ====
* Installer le paquet **slapd** : apt-get install slapd ldap-utils
* L'installeur du paquet va pré-configurer pour héberger un arbre LDAP composé à partir du nom DNS de la machine. Nous utiliserons cet arbre sans le modifier mais vous pouvez à cette étape le reconstruire à votre goût.
* Nous allons commencer par hashé le futur mot de passe admin de notre arbre LDAP. Pour cela utiliser la commande **slappasswd**. Communément, le mot de passe est encode en **base64** pour son stockage. Pour cela, utiliser la commande suivante : echo -n "[mon mot de passe hashé]"|base64
* Nous allons maintenant mettre en place le mot de passe d'accès à la branche **cn=config** en éditant le fichier ///etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif// et en ajoutant la ligne : olcRootPW:: [hash du mot de passe encodé en base64]
Se sera la seule fois que nous éditerons les fichiers du dossier ///etc/ldap/slapd.d//. Par la suite, toutes nos modifications pourront utiliser les voies LDAP classiques ! Attention cependant si vous souhaitez utiliser l'outils *PhpLdapAdmin*, celui-ci peut avoir tendance à poser problème lorsque vous tenterez de jouer certain LDIF.
* Redémarrer //slapd//
* Nous allons partir du principe que la réplication LDAP utilisera un compte applicatif stocké dans l'OU //sysaccounts// à la racine de notre arbre //o=example//. Nous allons donc ajouter l'OU ainsi que l'objet LDAP du compte applicatif en exécutant le LDIF suivant : dn: ou=sysaccounts,o=example
objectClass: organizationalUnit
ou: sysaccounts
dn: uid=syncrepl,ou=sysaccounts,o=example
objectClass: simpleSecurityObject
objectClass: account
uid: syncrepl
userPassword:: [hash du mot de passe encodé en base64]
Le mot de passe du compte applicatif est hashé puis encodé en //base64// comme précédemment pour le mot de passe //admin//.
* Nous allons ensuite faire que cet utilisateur ne soit pas impacté par une limite d'objet retourné ou de temps par requête en jouant le LDIF suivant : dn: olcDatabase={1}mdb,cn=config
changetype: modify
add: olcSizeLimit
olcSizeLimit: dn.base="uid=syncrepl,ou=sysaccounts,o=example" size=unlimited time=unlimited
* Nous allons ensuite ajouter l'//overlay syncprov// activant les fonctionnalités de réplication d'OpenLDAP. Pour cela nous allons jouer le LDIF suivant : dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: syncprov
dn: olcOverlay=syncprov,olcDatabase={1}mdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: {0}syncprov
olcSpCheckpoint: 100 10
olcSpSessionlog: 100
* La réplication LDAP s'appuyant sur les attributs **entryCSN** et **entryUUID**, nous allons mettre en place des indexes pour ces attributs : dn: olcDatabase={1}mdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: entryUUID eq
-
add: olcDbIndex
olcDbIndex: entryCSN eq
Le premier serveur est maintenant installé sans réplication. Nous allons pouvoir mettre en place le second serveur.
==== Installation du second serveur ====
L’installation du second serveur va consisté à répliquer la configuration puis les données du premier serveur.
* Installer le paquet **slapd** : apt-get install slapd ldap-utils
* L'installeur va pré-configuré encore une fois OpenLDAP mais nous allons écraser tout cela. Pour cela, commençons par stopper //slapd// et répliquer le contenu du dossier ///etc/ldap// depuis le premier serveur.
En fonction de votre configuration, il peut également être nécessaire de répliquer d'autres fichiers faisant partie de la configuration d'OpenLDAP mais n'étant pas stocké dans le dossier ///etc/ldap// telques d'éventuel certificats SSL.
* Supprimer ensuite l'ensemble des données contenus dans le dossier ///var/lib/ldap// (**à l'exception** du fichier **DB_CONFIG** pour les bases utilisant le backend HDB ou le BDB)
* Assurer les droits de ces deux dossiers : chown openldap: -R /var/lib/ldap /etc/ldap/slapd.d
* Relancer **slapd**
OpenLDAP est maintenant actif et configuré sur les deux serveurs. Le seconde serveur ne dispose pas encore des données de l'arbre LDAP, il les récupérera au moment de la première synchronisation.
==== Mise en place de la synchronisation ====
* Nous allons commencer par activer la synchronisation du second serveur sur le premier pour qu'il récupère les données de l'arbre LDAP. Pour cela, nous allons jouer le LDIF suivant : dn: cn=config
changetype: modify
add: olcServerID
olcServerID: 2
dn: olcDatabase={1}mdb,cn=config
changetype: modify
add: olcSyncrepl
olcSyncrepl: {0}rid=002 provider=ldap://ldap1.example.com type=refreshAndPersist retry="5 5 300 +" searchbase="o=example" attrs="*,+" filter="(objectClass=*)" bindmethod=simple binddn="uid=syncrepl,ou=sysaccounts,o=example" credentials="[mot de passe syncrepl]"
* La réplication est donc maintenant active dans le sens //serveur 1// => //serveur 2//. Celle-ci est entrain de répliquer l'ensemble des données de l'arbre LDAP vers le //serveur 2//. Une fois cette synchronisation effectuées nous allons pouvoir activer la réplication dans le sens inverse.
* Pour activer la réplication dans l'autre sens, nous allons jour le LDIF suivant sur le premier serveur : dn: cn=config
changetype: modify
add: olcServerID
olcServerID: 1
dn: olcDatabase={1}mdb,cn=config
changetype: modify
add: olcSyncrepl
olcSyncrepl: {0}rid=001 provider=ldap://ldap2.example.com type=refreshAndPersist retry="5 5 300 +" searchbase="o=example" attrs="*,+" filter="(objectClass=*)" bindmethod=simple binddn="uid=syncrepl,ou=sysaccounts,o=example" credentials="[mot de passe syncrepl]"
* Il nous reste plus qu'à activer le mode //miroir// pour que les bases des deux serveurs soit à nouveau accessible en lecture/écriture. Pour cela, nous allons jouer le LDIF suivant sur les deux serveurs : dn: olcDatabase={1}mdb,cn=config
changetype: modify
add: olcMirrorMode
olcMirrorMode: TRUE