Ziel ist die Verteilung einer LDAP-Datenbank auf mehr als einem Server. Dies erhöht die Ausfallsicherheit und verteilt die Last. Dabei existiert ein Main - dies ist der LDAP-Server auf dem Schreib-Operationen erlaubt. Alle anderen LDAP-Server beziehen lediglich im Pull-Verfahren regelmäßig Änderungen von dem Main-Server.
Die Dokumentation bezieht sich auf OpenLDAP v2.4 oder später. Alle Änderungen verwenden das neue LDIF-basierte Konfigurationsformat von OpenLDAP.
In den Beispielen werden die folgenden Variablen verwendet - sie sind durch lokale Gegebenheiten zu ersetzen:
| Variable | Beschreibung |
|---|---|
| EXAMPLE und ORG | Die LDAP-Basis des Servers - beispielsweise für „dc=meine-domain,dc=de“ wäre es EXAMPLE=meine-domain und ORG=de |
| SYNCAGENT_SECRET | Passwort des LDAP-Replikations-Accounts (beliebig) |
| LDAP_MASTER | Der Name oder die IP des LDAP-Main-Servers |
Alle Änderungen lassen sich jeweils mit folgendem Kommando anwenden:
ldapmodify -Y EXTERNAL -H ldapi:///
Die untenstehenden ldif-Änderungsdaten werden dabei auf der Standardeingabe erwartet.
Folgendes ist zu tun: Synchronisations-Overlay für die Konfiguration und die Datenbank aktivieren und einen Account für die Datenabfrage anlegen:
echo " # einen Account für die Replikationsabfrage hinzufuegen dn: cn=syncagent,dc=lohro,dc=de cn: syncagent objectClass: top objectClass: person sn: syncagent" | ldapadd -D cn=admin,dc=lohro,dc=de -W
ldapmodify -Y EXTERNAL -H ldapi:///
# Sync-Modul aktivieren
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: syncprov.la
# fuege replikationsrelevante Attribute zum Index hinzu
dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: entryUUID,entryCSN eq
# Zugriffsrechte für den sync-Account anlegen
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcAccess
olcAccess: to * by dn.base="cn=syncagent,dc=EXAMPLE,dc=ORG" read by * +0 break
# sync-Provider für die LDAP-Datenbank aktivieren
dn: olcOverlay=syncprov,olcDatabase={1}hdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
# sync-Provider für die LDAP-Konfiguration aktivieren
dn: olcOverlay=syncprov,olcDatabase={0}config,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
ldappasswd -D cn=admin,dc=EXAMPLE,dc=ORG -W -s "SYNCAGENT_SECRET" "cn=syncagent,dc=EXAMPLE,dc=ORG"
ldapmodify -Y EXTERNAL -H ldapi:///
# Sync-Modul aktivieren
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: syncprov.la
# fuege replikationsrelevante Attribute zum Index hinzu
dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: entryUUID,entryCSN eq
# Datenbank-Replikation aktivieren
dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcSyncrepl
olcSyncrepl: {0}rid=2 provider=ldap://LDAP_MASTER
type=refreshOnly
bindmethod=simple
binddn="cn=syncagent,dc=EXAMPLE,dc=ORG"
credentials=SYNCAGENT_SECRET
interval="00:00:03:00"
retry="30 10 300 +"
timeout=1
tls_reqcert=never
schemachecking=off
searchbase="dc=EXAMPLE,dc=ORG"
# Konfigurationsreplikation aktivieren
dn: olcDatabase={0}config,cn=config
changetype: modify
add: olcSyncrepl
olcSyncrepl: {0}rid=1 provider=ldap://LDAP_MASTER
type=refreshOnly
bindmethod=simple
binddn="cn=syncagent,dc=EXAMPLES,dc=ORG"
credentials=SYNCAGENT_SECRET
interval="00:00:03:00"
retry="30 10 300 +"
timeout=1
tls_reqcert=never
schemachecking=off
searchbase="cn=config"
Nun sollte der Client-Server sich sofort mit dem Server synchronisieren. Fehlermeldungen finden sich auf der Slave-Seite unter /var/log/debug.log-