View Page

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
informatique:reseau:ldap:replication_multi-maitre [2013/02/11 16:00] bn8informatique:reseau:ldap:replication_multi-maitre [2019/03/11 16:05] (Version actuelle) – [Mise en place de la synchronisation] bn8
Ligne 7: Ligne 7:
 ==== Installation du premier serveur ==== ==== Installation du premier serveur ====
  
-  * Installer le paquet **slapd** : <code>apt-get install slapd</code>+  * Installer le paquet **slapd** : <code>apt-get install slapd ldap-utils</code>
   * L'installeur du paquet va pré-configurer pour héberger un arbre LDAP composé à partir du nom DNS de la machine. Nous utiliserons cet arbre sans le modifier mais vous pouvez à cette étape le reconstruire à votre goût.   * L'installeur du paquet va pré-configurer pour héberger un arbre LDAP composé à partir du nom DNS de la machine. Nous utiliserons cet arbre sans le modifier mais vous pouvez à cette étape le reconstruire à votre goût.
   * Nous allons commencer par hashé le futur mot de passe admin de notre arbre LDAP. Pour cela utiliser la commande **slappasswd**. Communément, le mot de passe est encode en **base64** pour son stockage. Pour cela, utiliser la commande suivante : <code>echo -n "[mon mot de passe hashé]"|base64</code>   * Nous allons commencer par hashé le futur mot de passe admin de notre arbre LDAP. Pour cela utiliser la commande **slappasswd**. Communément, le mot de passe est encode en **base64** pour son stockage. Pour cela, utiliser la commande suivante : <code>echo -n "[mon mot de passe hashé]"|base64</code>
   * Nous allons maintenant mettre en place le mot de passe d'accès à la branche **cn=config** en éditant le fichier ///etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif// et en ajoutant la ligne : <code>olcRootPW:: [hash du mot de passe encodé en base64]</code>   * Nous allons maintenant mettre en place le mot de passe d'accès à la branche **cn=config** en éditant le fichier ///etc/ldap/slapd.d/cn=config/olcDatabase={0}config.ldif// et en ajoutant la ligne : <code>olcRootPW:: [hash du mot de passe encodé en base64]</code>
-<note important>Se sera la seule fois que nous éditerons les fichiers du dossier ///etc/ldap/slapd.d//. Par la suite, toutes nos modifications pourront utiliser les voies LDAP classiques !</note>+ 
 +<note important>Se sera la seule fois que nous éditerons les fichiers du dossier ///etc/ldap/slapd.d//. Par la suite, toutes nos modifications pourront utiliser les voies LDAP classiques ! Attention cependant si vous souhaitez utiliser l'outils *PhpLdapAdmin*, celui-ci peut avoir tendance à poser problème lorsque vous tenterez de jouer certain LDIF.</note> 
   * Redémarrer //slapd//   * Redémarrer //slapd//
   * Nous allons partir du principe que la réplication LDAP utilisera un compte applicatif stocké dans l'OU //sysaccounts// à la racine de notre arbre //o=example//. Nous allons donc ajouter l'OU ainsi que l'objet LDAP du compte applicatif en exécutant le LDIF suivant : <code>dn: ou=sysaccounts,o=example   * Nous allons partir du principe que la réplication LDAP utilisera un compte applicatif stocké dans l'OU //sysaccounts// à la racine de notre arbre //o=example//. Nous allons donc ajouter l'OU ainsi que l'objet LDAP du compte applicatif en exécutant le LDIF suivant : <code>dn: ou=sysaccounts,o=example
Ligne 23: Ligne 25:
 userPassword:: [hash du mot de passe encodé en base64]</code> userPassword:: [hash du mot de passe encodé en base64]</code>
  
-**Remarque : ** Le mot de passe du compte applicatif est hashé puis encodé en //base64// comme précédemment pour le mot de passe //admin//.+<note>Le mot de passe du compte applicatif est hashé puis encodé en //base64// comme précédemment pour le mot de passe //admin//.</note>
  
-  * Nous allons ensuite faire que cet utilisateur ne soit pas impacté par une limite d'objet retourné ou de temps par requête en jouant le LDIF suivant : <code>dn: olcDatabase={2}hdb,cn=config+  * Nous allons ensuite faire que cet utilisateur ne soit pas impacté par une limite d'objet retourné ou de temps par requête en jouant le LDIF suivant : <code>dn: olcDatabase={1}mdb,cn=config
 changetype: modify changetype: modify
 add: olcSizeLimit add: olcSizeLimit
 olcSizeLimit: dn.base="uid=syncrepl,ou=sysaccounts,o=example" size=unlimited  time=unlimited</code> olcSizeLimit: dn.base="uid=syncrepl,ou=sysaccounts,o=example" size=unlimited  time=unlimited</code>
-  * Nous allons ensuite ajouter l'//overlay syncprov// activant les fonctionnalités de réplication d'OpenLDAP. Pour cela nous allons jouer le LDIF suivant : <code>dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config+  * Nous allons ensuite ajouter l'//overlay syncprov// activant les fonctionnalités de réplication d'OpenLDAP. Pour cela nous allons jouer le LDIF suivant : <code>dn: cn=module{0},cn=config 
 +changetype: modify 
 +add: olcModuleLoad 
 +olcModuleLoad: syncprov 
 + 
 +dn: olcOverlay=syncprov,olcDatabase={1}mdb,cn=config 
 +changetype: add
 objectClass: olcOverlayConfig objectClass: olcOverlayConfig
 objectClass: olcSyncProvConfig objectClass: olcSyncProvConfig
Ligne 35: Ligne 43:
 olcSpCheckpoint: 100 10 olcSpCheckpoint: 100 10
 olcSpSessionlog: 100</code> olcSpSessionlog: 100</code>
 +
 +  * La réplication LDAP s'appuyant sur les attributs **entryCSN** et **entryUUID**, nous allons mettre en place des indexes pour ces attributs : <code>dn: olcDatabase={1}mdb,cn=config
 +changetype: modify
 +add: olcDbIndex
 +olcDbIndex: entryUUID eq
 +-
 +add: olcDbIndex
 +olcDbIndex: entryCSN eq</code>
  
 Le premier serveur est maintenant installé sans réplication. Nous allons pouvoir mettre en place le second serveur. Le premier serveur est maintenant installé sans réplication. Nous allons pouvoir mettre en place le second serveur.
Ligne 42: Ligne 58:
 L’installation du second serveur va consisté à répliquer la configuration puis les données du premier serveur. L’installation du second serveur va consisté à répliquer la configuration puis les données du premier serveur.
  
-FIXME+  * Installer le paquet **slapd** : <code>apt-get install slapd ldap-utils</code> 
 +  * L'installeur va pré-configuré encore une fois OpenLDAP mais nous allons écraser tout cela. Pour cela, commençons par stopper //slapd// et répliquer le contenu du dossier ///etc/ldap// depuis le premier serveur.
  
 +<note>En fonction de votre configuration, il peut également être nécessaire de répliquer d'autres fichiers faisant partie de la configuration d'OpenLDAP mais n'étant pas stocké dans le dossier ///etc/ldap// telques d'éventuel certificats SSL.</note>
 +
 +  * Supprimer ensuite l'ensemble des données contenus dans le dossier ///var/lib/ldap// (**à l'exception** du fichier **DB_CONFIG** pour les bases utilisant le backend HDB ou le BDB)
 +  * Assurer les droits de ces deux dossiers : <code>chown openldap: -R /var/lib/ldap /etc/ldap/slapd.d</code>
 +  * Relancer **slapd**
 +
 +OpenLDAP est maintenant actif et configuré sur les deux serveurs. Le seconde serveur ne dispose pas encore des données de l'arbre LDAP, il les récupérera au moment de la première synchronisation.
 +
 +==== Mise en place de la synchronisation ====
 +
 +  * Nous allons commencer par activer la synchronisation du second serveur sur le premier pour qu'il récupère les données de l'arbre LDAP. Pour cela, nous allons jouer le LDIF suivant : <code>dn: cn=config
 +changetype: modify
 +add: olcServerID
 +olcServerID: 2
 +
 +dn: olcDatabase={1}mdb,cn=config
 +changetype: modify
 +add: olcSyncrepl
 +olcSyncrepl: {0}rid=002 provider=ldap://ldap1.example.com type=refreshAndPersist retry="5 5 300 +" searchbase="o=example" attrs="*,+" filter="(objectClass=*)" bindmethod=simple binddn="uid=syncrepl,ou=sysaccounts,o=example" credentials="[mot de passe syncrepl]"</code>
 +
 +  * La réplication est donc maintenant active dans le sens //serveur 1// => //serveur 2//. Celle-ci est entrain de répliquer l'ensemble des données de l'arbre LDAP vers le //serveur 2//. Une fois cette synchronisation effectuées nous allons pouvoir activer la réplication dans le sens inverse.
 +  * Pour activer la réplication dans l'autre sens, nous allons jour le LDIF suivant sur le premier serveur : <code>dn: cn=config
 +changetype: modify
 +add: olcServerID
 +olcServerID: 1
 +
 +dn: olcDatabase={1}mdb,cn=config
 +changetype: modify
 +add: olcSyncrepl
 +olcSyncrepl: {0}rid=001 provider=ldap://ldap2.example.com type=refreshAndPersist retry="5 5 300 +" searchbase="o=example" attrs="*,+" filter="(objectClass=*)" bindmethod=simple binddn="uid=syncrepl,ou=sysaccounts,o=example" credentials="[mot de passe syncrepl]"</code>
 +
 +  * Il nous reste plus qu'à activer le mode //miroir// pour que les bases des deux serveurs soit à nouveau accessible en lecture/écriture. Pour cela, nous allons jouer le LDIF suivant sur les deux serveurs : <code>dn: olcDatabase={1}mdb,cn=config
 +changetype: modify
 +add: olcMirrorMode
 +olcMirrorMode: TRUE</code>