Linux

在消費者和提供者 ldap 中啟用同步

  • October 27, 2017

我對 ldap 完全陌生(在這種情況下為 openldap)。我的老闆給了我創建第二台 ldap 伺服器的任務,並將數據從現有的 ldap 伺服器複製到我創建的新伺服器上。

我能夠通過閱讀文件和做很多Google來實現這一點。無論如何,對於新的 ldap 伺服器,我從現有的 ldap 伺服器複製了 slapd.conf 文件,並執行了 ‘slaptest -f slapd.conf -F slapd.d’ 這創建了 cn=config。

我的老闆測試了環境。它工作正常,但現在他要求我從現有的 ldap 伺服器到剛剛創建的新伺服器進行單向同步。

再次閱讀文件並做了很多Google之後,我想我終於知道需要做什麼了。

這個新的 ldap 伺服器沒有被使用,我真的不知道如何使用 ldapmodify 或任何 ldap 客戶端工具來添加下面的參數。我實際上打算刪除 slapd.d 目錄中的內容,使用新參數更新 slapd.conf 文件,然後重新執行 ‘slaptest -f slapd.conf -F slapd.d’ 以重新創建 cn=config新參數。我知道這不是最好的方法,但它應該有效。

–同步消費者

同步複製

擺脫=123

type=RefreshandPersist

提供者=ldaps://ldap-master.example.com:389

綁定方法=簡單

searchbase=“dc=example,dc=com”

重試=“10 6 60 +”

attrs=“cn,sn,displayName,givenName,mail,uid”

binddn=“cn=Manager,dc=test,dc=example,dc=com”

憑據={SSHA}密碼

現在,這種更新 cn=config 的方法不適用於需要在副本提供程序上進行的更改以啟用同步。

據我所知,我只需要添加一行:

覆蓋同步程序

我的問題是如何將此行添加到現有和工作 ldap 伺服器上的 cn=config 中?我顯然無法使用 slaptest 重新創建配置。

非常感謝您的幫助和建議

-在

簡短的回答是您需要熟悉 using ldapmodify,它的手冊頁中有一些範例展示瞭如何進行更改。

在不知道您的 LDAP 伺服器是如何配置的情況下,我無法給您一個簡單的“這樣做”的答案。但是,您需要執行類似於以下的操作:

# ldapmodify -Y EXTERNAL -H ldapi:///
dn: olcOverlay=syncprov,olcDatabase={1}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
^D

cn=config相當於overlay syncprovslapd.conf文件中。但我假設你 a) 只配置了一個 LDAP 數據庫後端,b) 你正在使用 HDB 後端,c) 允許 LDAPI 連接。這也不會將使用者配置為用於從新的 LDAP 伺服器進行連接,也不會設置任何 ACL 以允許其讀取所有內容等。

我鼓勵您閱讀 OpenLDAP 文件,尤其是http://www.openldap.org/doc/admin24/replication.html,其中涵蓋了設置複製。

引用自:https://serverfault.com/questions/880141