Статья: кластер OpenLDAP 2.4 под FreeBSD 7.1

[Dr.Yu.]

Коллеги, приветствую.
Написал статью по настройке кластера OpenLDAP под FreeBSD.
Если интересно - оцените, посмотрите неточности.
ссылка вот : http://www.lissyara.su/?id=1876

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[princeps]

Как-то у тебя листинги оформлены не по стандарту.
Самбу не пробовал прикрутить к этому?

[Dr.Yu.]

Самбу PDC+BDC прикрутил, а еще прикрутил клаcтер dhcp и dns. Когда дооформлю - выложу отдельной статьей.

[akela2008]

В конфиге первого ldap-сервера ошибка
serverID 001
syncrepl rid=000
provider=ldaps://as02.int.sample.ru
type=refreshAndPersist
retry="5 10 300 +"
searchbase="dc=int,dc=sample,dc=ru"
attrs="*,+"
bindmethod=simple
binddn="uid=ldapsync_service,ou=systemusers,dc=int,dc=sample,dc=ru"
credentials=SUPERPASSWORD
tls_cert=/var/db/certs/as01_ldap.crt
tls_key=/var/db/certs/keys/as01_ldap.key
tls_cacert=/var/db/certs/ca.crt

надо as02_ldap.crt и as02_ldap.key

[akela2008]

Dr.Yu кады статья про самбу dhcp и dns будет
жду с нетерпением
особенно интересно как dhcp реализовано
не через dhcp2ldap случайно?

[Dr.Yu.]

В конфиге первого ldap-сервера ошибка
serverID 001
syncrepl rid=000
provider=ldaps://as02.int.sample.ru
type=refreshAndPersist
retry="5 10 300 +"
searchbase="dc=int,dc=sample,dc=ru"
attrs="*,+"
bindmethod=simple
binddn="uid=ldapsync_service,ou=systemusers,dc=int,dc=sample,dc=ru"
credentials=SUPERPASSWORD
tls_cert=/var/db/certs/as01_ldap.crt
tls_key=/var/db/certs/keys/as01_ldap.key
tls_cacert=/var/db/certs/ca.crt

надо as02_ldap.crt и as02_ldap.key

Спасибо, поправил.
Только неправильно было указано именно в конфиге второго сервера, т.к. tls_cert и tls_key описывают сертификат и ключ локальной стороны, а не удаленной.

[LHC]

Я тут вижу некоторую хмм... неточность что-ли в формулировке. Статья названа "Настройка кластера OpenLDAP". Если углубляться в терминологию, то безусловно конфигурацию, описанную в статье можно некоторым образом отнести к HA-кластеру или кластеру распределения нагрузки, но все-таки основного признака кластера (а именно балансировщика/программного или аппаратного модуля распределения запросов, называйте как хотите) нет. Тут мы имеем дело с обычной в практике службы каталогов master/master-репликацией (и в статье это упомянуто). Поэтому настоятельно рекомендую материал переименовать, дабы не вносит в умы сброд и шатание. По содержанию (за исключением оформления) претензий нет, кроме момента с portsnap-ом (но это так, паранойя, я пользуюсь csup). И наконец могу пожелать автору вопрос DNS поднять именно в этой статье, т.к. для службы каталогов он очень критичен.

P.S. Надеюсь критика была конструктивной.

[Dron]

либо дописать о балансировщике

[Andy]

либо дописать о балансировщике

Ты свою закончи и публикуй.

[cruch]

хочу довести до вашего сведения, что OpenLDAP-client 2.4.15 (у меня на 3 серверах) падает в coredump, при любом простейшем запросе, например:
ldapsearch -h localhost -D "cn=root,dc=sample,dc=ru" -W uid='*'
причем запросы не обязательно на локалхост...
почитал, погуглил на эту тему, люди пишут о таких же прроблемах... причем в версиях 2.4.11 или 2.4.14 такого не происходит...

Если у кого то есть такая же проблема, просьба сообщить в этой теме...

[Rupreht]

http://www.openldap.org/its/index.cgi?findid=6005

Код: Выделить всё

...
%ldapsearch -x -w xxxxxxx -h mail -b "ou=transport,dc=test,dc=ru" -D 
"cn=replic,dc=test,dc=ru"
Ok

%ldapsearch -Wx -h mail -b "ou=transport,dc=test,dc=ru" -D 
"cn=replic,dc=test,dc=ru"
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
.....
# search result
search: 2
result: 0 Success

# numResponses: 5
# numEntries: 4
Segmentation fault
...

Проблема озвучена разработчикам... пароль пока нужно передавать в строке...

P.s.
Есть один вопрос: В чем функциональное отличие?

Код: Выделить всё

olcDbIndex: objectClass,entryCSN,entryUUID eq

и

Код: Выделить всё

olcDbIndex: objectClass eq
olcDbIndex: entryCSN eq
olcDbIndex: entryUUID eq

[Dr.Yu.]

Я тут вижу некоторую хмм... неточность что-ли в формулировке. Статья названа "Настройка кластера OpenLDAP". Если углубляться в терминологию, то безусловно конфигурацию, описанную в статье можно некоторым образом отнести к HA-кластеру или кластеру распределения нагрузки, но все-таки основного признака кластера (а именно балансировщика/программного или аппаратного модуля распределения запросов, называйте как хотите) нет. Тут мы имеем дело с обычной в практике службы каталогов master/master-репликацией (и в статье это упомянуто). Поэтому настоятельно рекомендую материал переименовать, дабы не вносит в умы сброд и шатание. По содержанию (за исключением оформления) претензий нет,

ИМХО можно долго спорить о вопросах терминов. Можно и не кластером назвать, а "отказоустойчивой связкой" или что-то в этом роде. Но многие кластеры (например вебкластеры на апаче) работают именно по такой схеме, а балансировщик используется отдельный, например аппаратный.

кроме момента с portsnap-ом (но это так, паранойя, я пользуюсь csup).

Каждый выбирает для себя...

И наконец могу пожелать автору вопрос DNS поднять именно в этой статье, т.к. для службы каталогов он очень критичен.
P.S. Надеюсь критика была конструктивной.

Все никак не дойдут руки описать подобную связку для DHCP - DNS. Драфт давно готов, но завал на работе мешает.

[Dr.Yu.]

Dr.Yu кады статья про самбу dhcp и dns будет
жду с нетерпением
особенно интересно как dhcp реализовано
не через dhcp2ldap случайно?

Скоро будет. Завал на работе, времени не хватает.
Через dhcp2ldap, увы. на редкость кривая софтина, поддерживает только один диапазон IP, да еще и работает только с /16 маской. Но на сайте разработчика патча для bind, обеспечивающего работу с ldap четко сказано, что ldap поддерживается только в режиме чтения, по этому о полноценном DDNS пока можно забыть.

[Dr.Yu.]

Есть один вопрос: В чем функциональное отличие?

Код: Выделить всё

olcDbIndex: objectClass,entryCSN,entryUUID eq

и

Код: Выделить всё

olcDbIndex: objectClass eq
olcDbIndex: entryCSN eq
olcDbIndex: entryUUID eq

Ни в чем, первый вариант используется для большей простоты конфига. подробно можно посмотреть тут - http://www.zytrax.com/books/ldap/ch6/bdb.html#index
но результат первого и вторго примеров будет одинаков.

[Rupreht]

По поводу DNS + LDAP рекомендую DLZ драйвер, он есть в src BIND.
help - http://bind-dlz.sourceforge.net/ldap_perf.html
Только нужно кое что поправить в исходниках:

Код: Выделить всё

--- sdlz_helper.c.orig  2009-02-13 17:24:42.000000000 +0500
+++ contrib/dlz/drivers/sdlz_helper.c   2009-02-13 17:24:48.000000000 +0500
@@ -171,7 +171,7 @@
                 */
                tseg->sql = isc_mem_strdup(mctx,
                                           isc_string_separate(&right_str,
-                                                              "%"));
+                                                              "$"));
                if (tseg->sql == NULL) {
                        /* no memory, clean everything up. */
                        result = ISC_R_NOMEMORY;

и в named.conf соответственно пишим не % а $. вот.

Код: Выделить всё

dlz "ldap zone" {
 database "ldap 10 v3 simple {cn=Manager,o=bind-dlz} {secret} { 127.0.0.1:9110 10.0.0.1:389 }
 ldap:///dlzZoneName=$zone$,ou=dns,o=bind-dlz??sub?objectclass=dlzZone
 ldap:///dlzHostName=$record$,dlzZoneName=$zone$,ou=dns,o=bind-dlz?dlzTTL,dlzType,dlzPreference,dlzData,dlzIPAddr,dlzPrimaryNS,dlzAdminEmail,dlzSerial,dlzRefresh,dlzRetry,dlzExpire,dlzMinimum?sub?objectclass=dlzAbstractRecord";
};

если что есть порт bind96 с пачем ftp://ftp.olympus.ru/unix/freebsd/ports ... dap.tar.gz

[akela2008]

Через dhcp2ldap, увы. на редкость кривая софтина, поддерживает только один диапазон IP, да еще и работает только с /16 маской.

вот здесь http://www.lissyara.su/?id=1487 насчет маски исправление
"И еще надо будет подправить строку ~ 172 и 174:
меняем там $fourth.$third на $fourth."

[cruch]

Кстати у меня сейчас работает OpenLDAP 2.4.15 + Samba PDC + DNS
У меня еще и постфикс конфиги есть для openldap но мне чтото mysql нравится больше.
хотя когда все в одном месте, удобней получается.
Если Dr.Yu интересно могу показать свои конфиги.

[Morty]

кто-нибудь с таким сталкивался ?
в логи сыпет

Код: Выделить всё

do_syncrep2: rid=000 got search entry without Sync State control

зы: чего ему не хватает ?

[tester]

Добрый день.
кто-нибудь с таким сталкивался ?
куда копать, как лечить ?

------------------------------------------------------------------------
openLdap 2.4.16 /17 . попытка настроить кластер.
получаю
\# /etc/init.d/ldap restart
Shutting down ldap-server done
Starting ldap-serverstartproc: signal catched /usr/local/libexec/slapd: Segmentation fault
failed

linux slapd[18049]: .../slapd.conf: line 187: Error: Malformed
"syncrepl" line in slapd config file, missing provider searchbase.
Sep 4 14:03:36 slapd[18049]: failed to add syncinfo

в конфиге секция репликации :
---------------------

ServerID 002

# database section

database bdb

#
rootdn "cn=Administrator,dc=company,dc=com"

##
access to *
by dn.base="cn=Administrator,ou=Groups,dc=company,dc=com" read
by * break

syncrepl rid=001

provider=ldap://192.168.100.100:389
type=refreshAndPersist
retry="5 5 300 +"
searchbase="cn=Administrator,dc=company,dc=com"
attrs="*,+"
bindmethod=simple
binddn="cn=Administrator,dc=company,dc=com"
credentials=1234
----------------------------------------------------------------------------------------------

[server801]

оформляйте по человечески!

[kron]

tester Может ты удасужишься прочитать статью, прежде чем спрашивать, вопросы наводящие Где у тебя суффикс базы, какого у тебя вместо базы в случаях

Код: Выделить всё

by dn.base="cn=Administrator,ou=Groups,dc=company,dc=com" read

И

Код: Выделить всё

searchbase="cn=Administrator,dc=company,dc=com"

Стоит учетка админская.

Отсюда и результат, так как такой базы нет на лдап сервере и синхро тебя посылает

У меня другая проблема, все поднялось и все работает, даже хорошо, за одним недостатком, через определенное время база валится, в логах такое

Код: Выделить всё

Sep 24 11:40:36 c-es slapd[10504]: conn=29 op=33 SEARCH RESULT tag=101 err=0 nentries=1 text=  

Как я понимаю, проблема с какой-то записью в базе, вот только понять не могу с какой, никто не в курсе как посмотреть по этим данным к чему именно идет запрос?

[kron]

Частично разобрался, только проблему не решил, понял что slapd вываливается когда к нему от самбы приходят запросы, при запуске 1С или Консультанта, и то и другое лежит на файлсервере управляемым Самбой, но самый интересный вопрос в том, что раньше он справлялся, когда была база lbdm, а сейчас bdb и он отваливается, ума не преложу в чем дело((( И при этом, если спамить постоянный старт slapd оно все загружается и работает, вечером когда остается десяток пользователей 1С тоже грузиться нормально, но днем когда порядка 50 пользователей с чем-либо работают, возникают такие грабли. Кто-нибудь сталкивался с таким?

[kron]

Господа долго разбирался со всем и при помощи atrium решил проблему, версии ldap 2.3 не работают(полнофункционально) в связке master-master, собственно master-slave тоже, при включении их в synclrepl они впадают в режим read only и на этом все.

[urusha]

Здравствуйте. Настроил репликацию по статье, прикрутил самбы и тп. Но, пока проводил тесты, заметил, что при длительном отключении из сети (ethernet, без выключения 220V и соответственно slapd) одного из серверов, после последующего включения обратно в сеть, сервер не реплицируется со своими "соседями" (provider) в плане информации измененной на его соседе во время, пока он был отключен, однако, с новыми изменениями на любом из серверов - все в порядке, репликация идет. Исправляет положение только перегруз slapd на отключенном сервере после его включения обратно в сеть.
Отключал примерно на час, ждал синхронизации после включения тоже около часа, которая по идее должна была случиться по конфигу (retry="5 10 300 +") максимум через 300 секунд. Все это проделывал несколько раз - один эффект - 0. Вопрос важный, ведь при определенных условия рассинхронизация может быть очень значительной и опасной. А ведь здесь http://www.openldap.org/doc/admin24/replication.html, вроде как, обещают стабильную работу в таких ситуациях при mirrormode.
Пробовал играть с параметрами syncprov-sessionlog <size>, секцией syncrepl, индексировать все подряд... Не помогает. Знаю, есть cron и sh, но это слишком жестко и тоже может привести к сбоям.
Вопрос: есть ли у кого-нибудь такая проблема и как она была решена, если есть? Спасибо.
openldap-2.4.16 (с пакаджей), freebsd 7.2 x86.

[patcha]

Люд чесной.. не синхронизируется.. кто сталкивался с таким.. в логах валит вот это:

Код: Выделить всё

Nov 22 01:32:25 pdc slapd[910]: slap_client_connect: URI=ldaps://bdc.polyana DN="uid=ldapsync_service,ou=systemusers,dc=polyana" ldap_sasl_bind_s failed (-1)
Nov 22 01:32:25 pdc slapd[910]: do_syncrepl: rid=000 rc -1 retrying (9 retries left)
Nov 22 01:32:30 pdc slapd[910]: slap_client_connect: URI=ldaps://bdc.polyana DN="uid=ldapsync_service,ou=systemusers,dc=polyana" ldap_sasl_bind_s failed (-1)
Nov 22 01:32:30 pdc slapd[910]: do_syncrepl: rid=000 rc -1 retrying (8 retries left)

На основном контролере учётка есть, при помощи которой синх происходит, на доп контроллере нет..
по инструкции нет такого, но думаю что требется учётка и там и там одинаковая.. или я ошибаюсь?