CentOS

So konfigurieren Sie die OpenLDAP-Serverreplikation unter CentOS 8

So konfigurieren Sie die OpenLDAP-Serverreplikation unter CentOS 8

In diesem Handbuch werden wir behandeln, wie man die OpenLDAP Provider-Consumer-Replikation (ehemals Master-Slave-Replikation) auf CentOS 8 einrichtet. Bei dieser Art von Einrichtung repliziert OpenLDAP Consumer/Sekundärserver Verzeichnisänderungen und Updates vom Provider/Master.

Es besteht auch die Möglichkeit eines Provider-Provider-Setups, was im Grunde bedeutet, dass wir eine Multi-Master-LDAP-Konfiguration mit mehr als einem Primär-/Provider-Server haben können.

OpenLDAP-Replikation auf CentOS 8 . einrichten

Lassen Sie uns wissen, wie das geht. Wir benötigen zwei CentOS 8-Server, einer ist der primäre / Provider und der andere ist der sekundäre / Consumer-Server mit den folgenden Hostnamen;

  1. LDAP-Anbieter - ldapmaster.Computerforgeeks.com
  2. LDAP-Verbraucher - Verbraucher.Computerforgeeks.com

Fügen Sie jedem Server die statischen Hostnamen hinzu, um sicherzustellen, dass sie auflösbar sind.

$ sudo vim /etc/hosts 172.20.5.209 ldapmaster.Computerforgeeks.com 172.20.5.210 Verbraucher.Computerforgeeks.com

Der nächste Schritt besteht darin, den grundlegenden OpenLDAP-Server auf beiden Hosts zu installieren und zu konfigurieren. Wir haben die Schritte für die OpenLDAP-Konfiguration unter CentOS 8 in der folgenden Anleitung behandelt:

Installieren und konfigurieren Sie OpenLDAP-Server auf CentOS 8

Stoppen Sie für die Consumer-Konfiguration bei Schritt OpenLDAP SUDO-Schema erstellen im Tutorial OpenLDAP Server auf CentOS 8 installieren und konfigurieren.

NTP-Synchronisierung

Es ist wichtig, eine Zeitsynchronisierung zwischen dem Provider- und dem Consumer-Server zu haben.

RHEL/CentOS 8 verwendet Chrony zur Zeitsynchronisation.

Zeitzone einstellen:

sudo timedatectl set-timezone Africa/Nairobi

Installieren Sie das Chrony NTP-Serverpaket.

sudo yum -y installiere chrony

Konfigurieren Sie die NTP-Synchronisation, indem Sie die entsprechenden NTP-Server im /etc/chrony.conf Datei.

$ sudo vi /etc/chrony.conf-Server 0.Afrika.Schwimmbad.ntp.org iburst-Server 1.Afrika.Schwimmbad.ntp.org iburst-Server 2.Afrika.Schwimmbad.ntp.org iburst-Server 3.Afrika.Schwimmbad.ntp.org iburst

Sie können auch einen benutzerdefinierten NTP-Server mit den im folgenden Artikel hervorgehobenen Schritten verwenden:

So konfigurieren Sie den NTP-Server mit Chrony unter RHEL 8 / CentOS 8

Konfigurationsdateien kopieren

Kopieren Sie Daten und Konfigurationsdateien vom Primärserver auf den Sekundärserver.

Führen Sie auf dem Primärserver Folgendes aus, um eine Kopie der OpenLDAP-Datenbank zu erstellen:

slapcat -b cn=config -l openldap-config.ldif

oder

slapcat -n 0 -l openldap-config.ldif

Erstellen Sie ein Backup von OpenLDAP-Daten:

slapcat -n 1 -l openldap-data.ldif

oder

slapcat -l openldap-data.ldif

Kopieren Sie die Konfigurationsdateien auf den Consumer-Server

scp openldap-data.ldif, openldap-config.ldif [email protected]:/opt

SSL-Zertifikate vom Master zum Consumer kopieren:

scp /etc/pki/tls/ldapserver.crt,key [email protected]:/etc/pki/tls

Konfigurationsdateien auf dem Consumer-Server wiederherstellen

Nachdem die LDAP-Datenbank und die Daten auf den Verbraucher kopiert wurden, ist es an der Zeit, sie wiederherzustellen. Stellen Sie sicher, dass die LDAP-Konfigurationsverzeichnisse leer sind.

sudo rm -rf /etc/openldap/slapd.d/* sudo rm -rf /var/lib/openldap/*

Stellen Sie die LDAP-Datenbank wieder her:

cd /opt && sudo slapadd -b cn=config -l openldap-config.ldif -F /etc/openldap/slapd.d/ #oder cd /opt && sudo slapadd -n 0 -l openldap-config.ldif -F /etc/openldap/slapd.d/

OpenLDAP-Daten wiederherstellen:

cd /opt && sudo slapadd -n 1 -l openldap-data.ldif -F /etc/openldap/slapd.d/

Richten Sie den korrekten Dateibesitz für die Konfigurationsdateien ein:

sudo chown -R ldap:ldap /etc/openldap/slapd.d/ /var/lib/openldap/ sudo chown ldap:ldap /etc/pki/tls/ldapserver.crt,Taste

LDAP-Dienst erstellen

Systemd-Dienst für OpenLDAP erstellen:

$ sudo vim /etc/systemd/system/slapd.service [Einheit] Description=OpenLDAP Server Daemon After=syslog.Zielnetzwerk-online.target Documentation=man:slapd Documentation=man:slapd-mdb [Service] Type=forking PIDFile=/var/lib/openldap/slapd.pid Environment="SLAPD_URLS=ldap:/// ldapi:/// ldaps:///" Environment="SLAPD_OPTIONS=-F /etc/openldap/slapd.d" ExecStart=/usr/libexec/slapd -u ldap -g ldap -h $SLAPD_URLS $SLAPD_OPTIONS [Install] WantedBy=multi-user.Ziel

Dämon neu starten:

sudo systemctl daemon-reload

Dienst starten und aktivieren

sudo systemctl enable --now slapd

OpenLDAP-Dienst durch Firewall zulassen

Wir müssen Verbindungen zum LDAP-Dienst durch die Firewall für Client-Abfragen zulassen.

sudo Firewall-cmd --add-service=ldap,ldaps --permanent sudo Firewall-cmd --reload

Konfigurieren Sie die LDAP-Replikation auf Provider/Master

Wir müssen unseren Master-Server auf die Replikation aufmerksam machen. Wir müssen daher die LDAP-Inhaltssynchronisierung (syncrepl-Replikation) auf dem Master aktivieren, indem wir das Syncprov-Overlay-Modul aktivieren.

$ vim enable-syncprov.ldif dn: cn=module0,cn=config changetype: modifizieren hinzufügen: olcModuleLoad olcModuleLoad: syncprov.la

Bestätigen Sie, dass das Modul verfügbar ist:

sudo slapcat -n 0 | grep -i Modulpfad

Gewünschte Ausgabe:

olcModulePath: /usr/libexec/openldap

Aktualisieren Sie die OpenLDAP-Datenbank:

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f enable-syncprov.ldif

Konfigurieren Sie die syncprov-Replikationseinstellungen wie folgt:

$ vim syncprov-Optionen.ldif dn: olcOverlay=syncprov,olcDatabase=1mdb,cn=config changetype: add objectClass: olcOverlayConfig objectClass: olcSyncProvConfig olcOverlay: syncprov olcSpNoPresent: TRUE olcSpCheckpoint: 100 10 olcSpSessionlog: 100

Übernehmen Sie die Änderungen an der Datenbank:

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov-options.ldif

Datenbankindexierung aktivieren

Aktivieren Sie entryUID- und entryCSN-Indizes, um die Datenbankleistung und die Scangeschwindigkeit zu verbessern.

$ vim-Indexierung.ldif dn: olcDatabase=1mdb,cn=config changetype: modifizieren hinzufügen: olcDbIndex olcDbIndex: entryCSN eq - hinzufügen: olcDbIndex olcDbIndex: entryUUID eq

Übernehmen Sie die Konfiguration:

ldapadd -Y EXTERNAL -H ldapi:/// -f Indizierung.ldif

Konfigurieren Sie die OpenLDAP-Replikation auf dem Verbraucher

Wir müssen dann den Consumer-Server so konfigurieren, dass er Updates vom Provider-Server durch Aktivieren erhält olcSyncrepl und mit der richtigen Konfiguration einrichten.

$ vim enable-syncrepl.ldif

Hier die Inhalte:

dn: olcDatabase=1mdb,cn=config changetype: modifizieren Hinzufügen: olcSyncrepl olcSyncrepl: rid=001 provider=ldap://ldapmaster.Computerforgeeks.com binddn="cn=readonly,ou=system,dc=ldapmaster,dc=computingforgeeks,dc=com" bindmethod=einfache Zugangsdaten="[email protected]" searchbase="dc=ldapmaster,dc=computingforgeeks,dc=com" type=refreshAndPersist timeout=0 network-timeout=0 retry="60 +"

Ersetzen Anbieter, binddn ,binddn-Anmeldeinformationen und Suchdatenbank mit deinen Angaben. Notiere dass der gebundenn Anmeldeinformationen werden aus dem Schritt abgerufen LDAP Bind-Benutzer erstellen in Installieren und Konfigurieren von OpenLDAP-Server auf CentOS 8.

Aktualisieren Sie die Datenbank:

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f enable-syncrepl.ldif

Starten Sie den LDAP-Dienst neu, um diese Änderungen zu übernehmen:

sudo systemctl Neustart slapd

OpenLDAP-Replikation testen

Wenn unsere Replikation eingerichtet und bereit ist, können wir testen, ob die Konfiguration wirklich funktioniert, indem wir einen neuen Benutzer auf dem Provider hinzufügen und sehen, ob die Benutzerdetails auf dem Verbraucherserver aktualisiert werden.

vim test-user.ldif

Ändern Sie unten die Konfigurationen

dn: uid=usertest,ou=people,dc=ldapmaster,dc=computingforgeeks,dc=com cn: usertest gidnumber: 10050 homedirectory: /home/usertest loginshell: /bin/bash objectclass: inetOrgPerson objectclass: posixAccount objectclass: shadowAccount shadowinactive: 7 shadowlastchange: 0 shadowmax: 60 shadowmin: 1 shadowwarning: 7 sn: Doe uid: usertest uidnumber: 10050 userpassword: SSHAvg5PjAkA2mKNjrxAg5hgrwm06yf87ybfu dn: cn=usertest,ou=groups,dc=computdcforgek : usertest gidnumber: 10050 Memberuid: usertest Objektklasse: posixGroup

Fügen Sie den Eintrag hinzu:

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f test-user.ldif

Prüfen Sie nun am Consumer, ob der neue Eintrag hinzugefügt wurde:

sudo ldapsearch -Y EXTERNAL -H ldapi:/// -b "ou=people,dc=ldapmaster,dc=computingforgeeks,dc=com" dn -Q -LLL

Meine Ausgabe:

dn: uid=vshamallah,ou=people,dc=ldapmaster,dc=computingforgeeks,dc=com dn: uid=usertest,ou=people,dc=ldapmaster,dc=computingforgeeks,dc=com

Wir können bestätigen, dass der Benutzer Benutzertest wurde auf dem Consumer-Server repliziert.

Wir können auch versuchen, das Passwort für den Benutzer zurückzusetzen und zu prüfen, ob wir uns vom Verbraucherserver authentifizieren können.

Auf dem Meister:

[[email protected] ~]# ldappasswd -x -h ldapmaster.Computerforgeeks.com -D "cn=admin,dc=ldapmaster,dc=computingforgeeks,dc=com" -S "uid=usertest,ou=people,dc=ldapmaster,dc=computingforgeeks,dc=com" -W

Verwenden Sie die ldapwhoami Befehl auf dem Consumer-Server, um die Antwort des Benutzers zu ermitteln, den wir gerade das Passwort zurückgesetzt haben:

[[email protected] ~]# ldapwhoami -x -h Verbraucher.Computerforgeeks.com -D "uid=usertest,ou=people,dc=ldapmaster,dc=computingforgeeks,dc=com" -W -vvv ldap_initialize( ldap://consumer.Computerforgeeks.com ) Geben Sie das LDAP-Passwort ein: dn:uid=usertest,ou=people,dc=ldapmaster,dc=computingforgeeks,dc=com Ergebnis: Erfolg (0)

Die Ausgabe für den obigen Befehl sollte zurückkehren Ergebnis: Erfolg (0) für eine erfolgreiche Anfrage. Dies bedeutet, dass das Update der Passwortänderung vom Anbieter auf dem Verbraucherserver repliziert wurde.

Das bestätigt daher, dass unsere Provider-Consumer-Replikation wie erforderlich funktioniert.

Bitte überprüfen Sie andere verwandte Anleitungen unten:

Konfigurieren Sie den LDAP-Client unter Ubuntu

Installieren Sie den LDAP Account Manager auf CentOS 8

Was ist der Windows Update Medic Service (WaaSMedicSVC) und wie kann man ihn deaktivieren?
Microsoft hat diesen Dienst namens . eingeführt Windows Update Medic-Dienst (WaaSMedicSVC) in Windows 10 nicht so lange zurück. Der gesamte Zweck dies...
So gruppieren Sie ähnliche Symbole in der Windows 10-Taskleiste
Wir neigen normalerweise dazu, verschiedene Fenster derselben Anwendung zu öffnen, während wir an unseren Windows 10-Systemen arbeiten. Dies kann Ihne...
So erstellen oder löschen Sie ein Microsoft- und lokales Konto unter Windows 10
Wenn Sie das Betriebssystem Windows 10 zum ersten Mal installieren oder es erneut installieren, müssen Sie normalerweise ein neues Konto erstellen, da...