| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente |
| informatique:reseau:ldap:upgrade_2.4_vers_2.5 [2023/04/27 09:36] – bn8 | informatique:reseau:ldap:upgrade_2.4_vers_2.5 [2024/05/16 13:17] (Version actuelle) – bn8 |
|---|
| ====== Mise à jour d'OpenLDAP 2.4 en 2.5 (passage à Debian Bookworm) ====== | ====== Mise à jour d'OpenLDAP 2.4 en 2.5 (passage à Debian Bookworm) ====== |
| |
| Cette mise à jour est assez impactante et mieux vaut s'y préparer. Elle apporte notamment : | Cette mise à jour est [[https://www.openldap.org/doc/admin25/appendix-upgrading.html|assez impactante]] et mieux vaut s'y préparer. Elle apporte notamment : |
| * la suppression des **backends BDB & HDB** : Il est fortement conseillé de [[migration_bdb_hdb_mdb|migrer en MDB]] avant de procéder à la mise à jour. Par ailleurs, il faudra : | * la suppression des **backends BDB & HDB** : Il est fortement conseillé de [[migration_bdb_hdb_mdb|migrer en MDB]] avant de procéder à la mise à jour. Par ailleurs, il faudra : |
| * supprimer le chargement des modules correspondant dans ''/etc/ldap/slapd.d/cn=config/cn=module{0}.ldif'' | * supprimer le chargement des modules correspondant dans ''/etc/ldap/slapd.d/cn=config/cn=module{0}.ldif'' |
| * Module **ppolicy** : Le schéma _Ppolicy_ est fourni par le module (plus de schéma externe à charger) : si vous utiliser _ppolicy_, après mise à jour il faudra : <code bash>rm -i /etc/ldap/slapd.d/cn\=config/cn\=schema/cn=*ppolicy.ldif</code> | * Module **ppolicy** : Le schéma _Ppolicy_ est fourni par le module (plus de schéma externe à charger) : si vous utiliser _ppolicy_, après mise à jour il faudra : <code bash>rm -i /etc/ldap/slapd.d/cn\=config/cn\=schema/cn=*ppolicy.ldif</code> |
| * Module **refint** : Les multiples noms d'attributs dans ''olcRefintAttribute'' doivent être éclatés dans plusieurs valeurs de l'attribut : c'est non-bloquant, mais ça provoque des warnings. Si vous utilisé à faire après mise à jour via un ldapvi -p config) | * Module **refint** : Les multiples noms d'attributs dans ''olcRefintAttribute'' doivent être éclatés dans plusieurs valeurs de l'attribut : c'est non-bloquant, mais ça provoque des warnings. Si vous utilisé à faire après mise à jour via un ldapvi -p config) |
| | * Module **dynlist** : Le schéma a quelques peut évolué : l'attribut ''olcDlAttrSet'' a été déprécié en faveur de l'attribut ''olcDynListAttrSet'' et l'objectClass ''olcDynamicList'' en faveur de ''olcDynListConfig''. La rétrocompatibilité est assurée, mais autant faire le changement tout de suite : <code bash> |
| | find /etc/ldap/slapd.d/ \ |
| | -type f -name 'olcOverlay=*dynlist.ldif' \ |
| | -exec sed -e 's/olcDlAttrSet/olcDynListAttrSet/gi' -e 's/olcDynamicList/olcDynListConfig/gi' \{\} \;</code> |
| |
| <note tip>En cas de modification manuelle de la configuration, pensez à corriger les codes CRC des fichiers de configuration à l'aide de [[https://gitea.zionetrix.net/bn8/check_slapdd_crc32|check_slapdd_crc32]].</note> | <note tip>En cas de modification manuelle de la configuration, pensez à corriger les codes CRC des fichiers de configuration à l'aide de [[https://gitea.zionetrix.net/bn8/check_slapdd_crc32|check_slapdd_crc32]].</note> |
| Après mise à jour du paquet Debian et une fois ces corrections apportées, valider la nouvelle configuration : <code bash>slaptest</code> | Après mise à jour du paquet Debian et une fois ces corrections apportées, valider la nouvelle configuration : <code bash>slaptest</code> |
| |
| Si des problèmes persistes (en dehors des bases introuvables, cf. ci-dessous), corriger les avant de continuer. | Si des problèmes persistes (en dehors des bases introuvables, cf. ci-dessous), corriger les avant de continuer (la [[https://www.openldap.org/doc/admin25/appendix-upgrading.html|doc officielle]] peux être utile pour cela). |
| |
| Lors de la mise à jour du paquet Debian, du fait de ces changements, il est probable que les bases LDAP n'est put être restaurées. Elles ont été automatiquement sauvegardées (dump LDIF) et purgées lors de la mise à jour du paquet et il vous faudra ensuite les restaurer manuellement. Pour cela : | Lors de la mise à jour du paquet Debian, du fait de ces changements, il est probable que les bases LDAP n'est put être restaurées. Elles ont été automatiquement sauvegardées (dump LDIF) et purgées lors de la mise à jour du paquet et il vous faudra ensuite les restaurer manuellement. Pour cela : |
| basedn=$( basename "$ldif"|sed 's/\.ldif$//' ) | basedn=$( basename "$ldif"|sed 's/\.ldif$//' ) |
| [ "$basedn" == "cn=config" ] && continue | [ "$basedn" == "cn=config" ] && continue |
| sudo -u openldap slapadd -b "$basedn" -q -l "$ldif" | slapadd -b "$basedn" -q -l "$ldif" |
| done | done |
| | chown -R openldap: /var/lib/ldap |
| </code> | </code> |
| |
| Un ''slaptest'' ne devrait ensuite plus retourner aucune erreur et vous devriez être en mesure de relancer le service ''slapd'' : <code bash>service slapd start</code> | Un ''slaptest'' ne devrait ensuite plus retourner aucune erreur et vous devriez être en mesure de relancer le service ''slapd'' : <code bash>service slapd start</code> |