informatique:reseau:ldap:upgrade_2.4_vers_2.5

Mise à jour d'OpenLDAP 2.4 en 2.5 (passage à Debian Bookworm)

Cette mise à jour est assez impactante et mieux vaut s'y préparer. Elle apporte notamment :

  • la suppression des backends BDB & HDB : Il est fortement conseillé de migrer en MDB avant de procéder à la mise à jour. Par ailleurs, il faudra :
    • supprimer le chargement des modules correspondant dans /etc/ldap/slapd.d/cn=config/cn=module{0}.ldif
    • supprimer les fichiers de configuration associés (s'ils sont présent) : 
      rm -i /etc/ldap/slapd.d/cn\=config/olcBackend\=*bdb.ldif /etc/ldap/slapd.d/cn\=config/olcBackend\=*hdb.ldif
  • Module pw-argon2 : Le support des mots de passe argon2 est maintenant intégré dans _slapd core_ : si vous l'utiliser, après mise à jour il faudra : 
    sed -i 's/pw-argon2/argon2/' '/etc/ldap/slapd.d/cn=config/cn=module{0}.ldif'
  • Module ppolicy : Le schéma _Ppolicy_ est fourni par le module (plus de schéma externe à charger) : si vous utiliser _ppolicy_, après mise à jour il faudra : 
    rm -i /etc/ldap/slapd.d/cn\=config/cn\=schema/cn=*ppolicy.ldif
  • Module refint : Les multiples noms d'attributs dans olcRefintAttribute doivent être éclatés dans plusieurs valeurs de l'attribut : c'est non-bloquant, mais ça provoque des warnings. Si vous utilisé à faire après mise à jour via un ldapvi -p config)
En cas de modification manuelle de la configuration, pensez à corriger les codes CRC des fichiers de configuration à l'aide de check_slapdd_crc32.

Après mise à jour du paquet Debian et une fois ces corrections apportées, valider la nouvelle configuration : 

slaptest

Si des problèmes persistes (en dehors des bases introuvables, cf. ci-dessous), corriger les avant de continuer (la doc officielle peux être utile pour cela).

Lors de la mise à jour du paquet Debian, du fait de ces changements, il est probable que les bases LDAP n'est put être restaurées. Elles ont été automatiquement sauvegardées (dump LDIF) et purgées lors de la mise à jour du paquet et il vous faudra ensuite les restaurer manuellement. Pour cela :

  • identifier le dossier de stockage de dump en fonction de la version précédent du paquet slapd (il est afficher lors de la mise à jour du paquet) : DUMP_DIR=“/var/backups/slapd-2.4.57+dfsg-3+deb11u1”
  • restaurer ensuite chacun des dumps : 
    for ldif in $DUMP_DIR/*.ldif
do
    basedn=$( basename "$ldif"|sed 's/\.ldif$//' )
    [ "$basedn" == "cn=config" ] && continue
    slapadd -b "$basedn" -q -l "$ldif"
done
chown -R openldap: /var/lib/ldap

Un slaptest ne devrait ensuite plus retourner aucune erreur et vous devriez être en mesure de relancer le service slapd : 

service slapd start
  • informatique/reseau/ldap/upgrade_2.4_vers_2.5.txt
  • Dernière modification : 2023/04/27 16:16
  • de bn8