Réplication multi-maitre
Installation
Ce tuto va partir expliquer l'installation sur deux serveurs pré-installé en Debian Squeeze, d'OpenLDAP configuré en réplication multi-maitre.
Installation du premier serveur
- Installer le paquet slapd :
apt-get install slapd ldap-utils
- L'installeur du paquet va pré-configurer pour héberger un arbre LDAP composé à partir du nom DNS de la machine. Nous utiliserons cet arbre sans le modifier mais vous pouvez à cette étape le reconstruire à votre goût.
- Nous allons commencer par hashé le futur mot de passe admin de notre arbre LDAP. Pour cela utiliser la commande slappasswd. Communément, le mot de passe est encode en base64 pour son stockage. Pour cela, utiliser la commande suivante :
echo -n "[mon mot de passe hashé]"|base64
- Nous allons maintenant mettre en place le mot de passe d'accès à la branche cn=config en éditant le fichier /etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif et en ajoutant la ligne :
olcRootPW:: [hash du mot de passe encodé en base64]
Se sera la seule fois que nous éditerons les fichiers du dossier /etc/ldap/slapd.d. Par la suite, toutes nos modifications pourront utiliser les voies LDAP classiques ! Attention cependant si vous souhaitez utiliser l'outils *PhpLdapAdmin*, celui-ci peut avoir tendance à poser problème lorsque vous tenterez de jouer certain LDIF.
- Redémarrer slapd
- Nous allons partir du principe que la réplication LDAP utilisera un compte applicatif stocké dans l'OU sysaccounts à la racine de notre arbre o=example. Nous allons donc ajouter l'OU ainsi que l'objet LDAP du compte applicatif en exécutant le LDIF suivant :
dn: ou=sysaccounts,o=example objectClass: organizationalUnit ou: sysaccounts dn: uid=syncrepl,ou=sysaccounts,o=example objectClass: simpleSecurityObject objectClass: account uid: syncrepl userPassword:: [hash du mot de passe encodé en base64]
Le mot de passe du compte applicatif est hashé puis encodé en base64 comme précédemment pour le mot de passe admin.
- Nous allons ensuite faire que cet utilisateur ne soit pas impacté par une limite d'objet retourné ou de temps par requête en jouant le LDIF suivant :
dn: olcDatabase={1}mdb,cn=config changetype: modify add: olcSizeLimit olcSizeLimit: dn.base="uid=syncrepl,ou=sysaccounts,o=example" size=unlimited time=unlimited - Nous allons ensuite ajouter l'overlay syncprov activant les fonctionnalités de réplication d'OpenLDAP. Pour cela nous allons jouer le LDIF suivant :
dn: cn=module{0},cn=config changetype: modify add: olcModuleLoad olcModuleLoad: syncprov dn: olcOverlay=syncprov,olcDatabase={1}mdb,cn=config changetype: add objectClass: olcOverlayConfig objectClass: olcSyncProvConfig olcOverlay: {0}syncprov olcSpCheckpoint: 100 10 olcSpSessionlog: 100
- La réplication LDAP s'appuyant sur les attributs entryCSN et entryUUID, nous allons mettre en place des indexes pour ces attributs :
dn: olcDatabase={1}mdb,cn=config changetype: modify add: olcDbIndex olcDbIndex: entryUUID eq - add: olcDbIndex olcDbIndex: entryCSN eq
Le premier serveur est maintenant installé sans réplication. Nous allons pouvoir mettre en place le second serveur.
Installation du second serveur
L’installation du second serveur va consisté à répliquer la configuration puis les données du premier serveur.
- Installer le paquet slapd :
apt-get install slapd ldap-utils
- L'installeur va pré-configuré encore une fois OpenLDAP mais nous allons écraser tout cela. Pour cela, commençons par stopper slapd et répliquer le contenu du dossier /etc/ldap depuis le premier serveur.
En fonction de votre configuration, il peut également être nécessaire de répliquer d'autres fichiers faisant partie de la configuration d'OpenLDAP mais n'étant pas stocké dans le dossier /etc/ldap telques d'éventuel certificats SSL.
- Supprimer ensuite l'ensemble des données contenus dans le dossier /var/lib/ldap (à l'exception du fichier DB_CONFIG pour les bases utilisant le backend HDB ou le BDB)
- Assurer les droits de ces deux dossiers :
chown openldap: -R /var/lib/ldap /etc/ldap/slapd.d
- Relancer slapd
OpenLDAP est maintenant actif et configuré sur les deux serveurs. Le seconde serveur ne dispose pas encore des données de l'arbre LDAP, il les récupérera au moment de la première synchronisation.
Mise en place de la synchronisation
- Nous allons commencer par activer la synchronisation du second serveur sur le premier pour qu'il récupère les données de l'arbre LDAP. Pour cela, nous allons jouer le LDIF suivant :
dn: cn=config changetype: modify add: olcServerID olcServerID: 2 dn: olcDatabase={1}mdb,cn=config changetype: modify add: olcSyncrepl olcSyncrepl: {0}rid=002 provider=ldap://ldap1.example.com type=refreshAndPersist retry="5 5 300 +" searchbase="o=example" attrs="*,+" filter="(objectClass=*)" bindmethod=simple binddn="uid=syncrepl,ou=sysaccounts,o=example" credentials="[mot de passe syncrepl]"
- La réplication est donc maintenant active dans le sens serveur 1 ⇒ serveur 2. Celle-ci est entrain de répliquer l'ensemble des données de l'arbre LDAP vers le serveur 2. Une fois cette synchronisation effectuées nous allons pouvoir activer la réplication dans le sens inverse.
- Pour activer la réplication dans l'autre sens, nous allons jour le LDIF suivant sur le premier serveur :
dn: cn=config changetype: modify add: olcServerID olcServerID: 1 dn: olcDatabase={1}mdb,cn=config changetype: modify add: olcSyncrepl olcSyncrepl: {0}rid=001 provider=ldap://ldap2.example.com type=refreshAndPersist retry="5 5 300 +" searchbase="o=example" attrs="*,+" filter="(objectClass=*)" bindmethod=simple binddn="uid=syncrepl,ou=sysaccounts,o=example" credentials="[mot de passe syncrepl]"
- Il nous reste plus qu'à activer le mode miroir pour que les bases des deux serveurs soit à nouveau accessible en lecture/écriture. Pour cela, nous allons jouer le LDIF suivant sur les deux serveurs :
dn: olcDatabase={1}mdb,cn=config changetype: modify add: olcMirrorMode olcMirrorMode: TRUE