89612310 2010-02-26
在向大家详细介绍Fedora openldap之前,首先让大家了解下Fedora openldap,然后全面介绍Fedora openldap,希望对大家有用。
1.环境说明
用于做Fedora openldap同步的两台电脑的IP为192.168.0.181,192.168.0.182其中192.168.0.181 为主服务器,192.168.0.182为从服务器两台电脑的系统都为Fedora6,并且已经装好Fedora openldapp,其管理员为cn=Manager,dc=my-domain,dc=com,密码为secretOpenldap的详细配置请参考:openldap 的配置
2.配置目的
使用Fedora openldap本身的配置来完成Fedora openldap之间的同步,包括在Fedora openldap的主服务器上添加,修改,删除用户时,从服务器上也和主服务器上完成相同的操作。在从服务器上添加,修改,删除用户时,主服务器上也完成一样的操作。从而保证数据在主从Fedora openldap服务器上的一致
3.实现原理
当在主服务器上更新数据时,该更新通过更新日志记录,并将更新复制到从服务器上。当在从服务器上更新数据时,该更新请求将重定向给主服务器,然后主服务器将更新数据复制到从服务器
4.配置过程
注意:在进行下面的操作前请先确保你的Fedora openldap已经正常安装。
4.1. Fedora openldap前期配置准备
ØDB_CONFIG文件配置该文件配置在主从服务器上的配置相同,其步骤如下:l进入Fedora openldap配置文件路径 # cd /etc/openldapl复制DB_CONFIG.example 到 Fedora openldap数据文件所在位置,并命名为DB_CONFIG# cp DB_CONFIG.
example /var/lib/ldap/DB_CONFIG并命名为DB_CONFIGl进入数据文件所在位置 #cd /var/lib/ldapl修改DB_CONFIG所属的用户和用户组#chown ldap:ldap DB_CONFIGl赋予ldap以执行权限#chmod +x DB_CONFIG
Ø同步数据初始化在主服务器192.168.0.181上将如下内容保存为ldap.ldif#该文件的关键点是每行后面不能有空格
dn: dc=my-domain,dc=com objectclass: dcObject objectclass: organization o: Example Company dc: my-domain dn: cn=Manager,dc=my-domain,dc=com objectclass: organizationalRole cn: Manager
/*该文件的关键点是每行后面不能有空格* /通过ldap工具连接到ldap主服务器,将ldap.ldif文件导入。在根目录下新建用户cn=admin,其密码设为secret。然后将主服务器的数据导出为181.ldif。通过ldap工具连接到ldap从服务器,将181.ldif文件导入。
4.2. 主服务器配置
配置主服务器,保证当在主服务器上更新数据时,该数据能复制到从服务器Ø连接到ldap主服务器181,并停用主服务器的ldap# service ldap stopØ编辑ldap 配置文件# vi /etc/openldap/slapd.confØ在文件最下面加入如下内容# 赋予ldap里的admin用户对整个ldap的写权限,赋予ldap里的每个用户认证权限#注意:不要使用Fedora openldap默认的管理员来进行下面的授权,用系统默认管理员授权无效
access to * by dn="cn=admin,dc=my-domain,dc=com" write by anonymous auth # 复制数据库 # 复制的日志文件存放的路径
replogfile /var/lib/ldap/replog# 要复制到的主机
replica host=192.168.0.182:389# 用来进行复制操作的用户,注意保留前面的空格
binddn="cn=admin,dc=my-domain,dc=com" # 该用户的密码,注意保留前面的空格credentials=secret # 认证的类型,注意保留前面的空格bindmethod=simple
4.3. 从服务器配置
配置从服务器,保证当要在从服务器上更新数据时,该请求重定向到主服务器,然后数据再从主服务器复制到从服务器Ø连接到ldap从服务器182,并停用主服务器的ldap# service ldap stopØ编辑ldap 配置文件# vi /etc/openldap/slapd.confØ在文件最下面加入如下内容#赋予ldap里的admin用户对整个ldap的写权限,赋予ldap里的每个用户认证权限
access to * by dn="cn=admin,dc=my-domain,dc=com" write by anonymous auth
#重定向数据请求#用来进行复制操作的用户,与主服务器的用户需要一致updatedn "cn=admin,dc=my-domain,dc=com" #当有请求过来是将请求重定向的位置updateref ldap://192.168.0.181:389