Форум проекта Pro-LDAP.ru

Администрирование OpenLDAP => Конфигурация через cn=config => Тема начата: beren от 27 Январь 2020, 15:13:07

Название: LDAPS multimaster replication
Отправлено: beren от 27 Январь 2020, 15:13:07

Всем привет.

Планирую сделать multimaster replication по LDAPS

1) На каждом сервере
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: syncprov

2) На server 1

dn: cn=config
changeType: modify
add: olcServerID
olcServerID: 1

3) На server 2


dn: cn=config
changeType: modify
add: olcServerID
olcServerID: 2

4) На  server 3

dn: cn=config
changeType: modify
add: olcServerID
olcServerID: 3

4) On each server
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcRootPW
olcRootPW: 5fX?BLR2

5) On each server
 dn: cn=config
changetype: modify
replace: olcServerID
olcServerID: 1 ldaps://infa1.domain.com
olcServerID: 2 ldaps://infra2.domain.com
olcServerID: 3 ldaps://infra3.domain.com

6) На каждом сервере
dn: olcOverlay=syncprov,olcDatabase={0}config,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov

7) На каждом сервере
dn: olcDatabase={0}config,cn=config
changetype: modify
replace: olcSyncRepl
olcSyncRepl: rid=001 provider=ldaps://infra1.domain.com binddn="cn=admin,cn=config" bindmethod=sasl
  saslmech=EXTERNAL
  starttls=no
  tls_cert="/etc/ldap/sasl2/cert.ru.crt"
  tls_key="/etc/ldap/sasl2/cert.ru.crt"
  tls_cacert="/etc/ldap/sasl2/comodo.crt"
  tls_reqcert=allow
  credentials=5fX?BLR2 searchbase="cn=config" type=refreshAndPersist
  retry="5 5 300 5" timeout=1
olcSyncRepl: rid=002 provider=ldaps://infra2.domain.comn binddn="cn=admin,cn=config" bindmethod=sasl
  saslmech=EXTERNAL
  starttls=no
  tls_cert="/etc/ldap/sasl2/cert.ru.crt"
  tls_key="/etc/ldap/sasl2/cert.ru.crt"
  tls_cacert="/etc/ldap/sasl2/comodo.crt"
  tls_reqcert=allow
  credentials=5fX?BLR2 searchbase="cn=config" type=refreshAndPersist
  retry="5 5 300 5" timeout=1
olcSyncRepl: rid=003 provider=ldaps://infra3.domain.com binddn="cn=admin,cn=config" bindmethod=sasl
  saslmech=EXTERNAL
  starttls=no
  tls_cert="/etc/ldap/sasl2/cert.ru.crt"
  tls_key="/etc/ldap/sasl2/cert.ru.crt"
  tls_cacert="/etc/ldap/sasl2/comodo.crt"
  tls_reqcert=allow
  credentials=5fX?BLR2 searchbase="cn=config" type=refreshAndPersist
  retry="5 5 300 5" timeout=1
-
add: olcMirrorMode
olcMirrorMode: TRUE


Правильно ли это ?  :)

Название: Re: LDAPS multimaster replication
Отправлено: egor от 27 Январь 2020, 22:58:37

Здравствуйте! Вы пытаетесь организовать репликацию конфигурационного каталога cn=config, причём с механизмом аутентификации SASL EXTERNAL по клиентскому сертификату и ключу.

Для начала нужно проверить просто выполнение поисковых запросов к БД cn=config с такими параметрами аутентификации (и вообще настройками) на каждом их серверов, типа такого:

Код: [Выделить]

ldapsearch -H ldaps://infra1.domain.com -Y EXTERNAL -b cn=config
Что точно не так -- указание одного и того же файла в tls_cert и tls_key. Это как раз клиентские сертификат и ключ соответственно, в одном файле они находиться не могут.

В общем, пока этот поисковый запрос не вернёт результатов, репликация не заработает.

Егор