生产环境OpenLDAP主从集群

1、背景

在很多组织中，需要对用户和系统进行统一的身份认证和授权管理。为了实现这一目标，通常会使用LDAP（轻量级目录访问协议）来构建集中化的身份认证和授权服务。而在生产环境中，为了保证高可用性和可扩展性，需要构建OpenLDAP主从集群来提供稳定的身份认证服务。

2、环境

在开始部署之前，需要准备以下环境：

操作系统：Centos7
OpenLDAP版本：OpenLDAP: slapd 2.4.44
服务器数量：2台（1台主服务器和1台从服务器）
网络环境：两台服务器应在同一局域网内，确保网络连接稳定

3、主节点安装

清参考下方链接
https://blog.csdn.net/heian_99/article/details/138963912

在这里插入图片描述

4、从节点安装

假设master节点的地址为192.168.102.20。对于master节点，完全参照前述章节操作并配置好。

对于slave节点，也参照前述章节安装并配置，但只到执行ldapdomain.ldif文件后就行。也就是设置了管理员用户账号就行，不用添加部门或其它人员信息。另外，phpLDAPadmin可以安装。

1、配置master节点

在master节点上，我们需要导入相关的信息。

创建syncprov_mod.ldif文件：

cat > syncprov_mod.ldif << "EOF"
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la
EOF

执行：

ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov_mod.ldif

创建syncprov.ldif文件：

cat > syncprov.ldif << "EOF"
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpCheckpoint: 1 1
olcSpSessionLog: 1024
EOF

执行：

ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov.ldif

2、配置slave节点

在slave节点上配置主从。

创建rp.ldif文件：

cat > rp.ldif << "EOF"
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001provider=ldap://192.168.102.20:389bindmethod=simplebinddn="cn=Manager,dc=fujfu,dc=com"credentials=examplePasswordsearchbase="dc=fujfu,dc=com"scope=subschemachecking=ontype=refreshAndPersistretry="30 5 300 3"attrs="*,+"interval=00:00:02:00
EOF

provider表示master的地址，其他的都是些基础信息。需要注意的是认证用户一定要使用超级管理员，如果使用普通用户连接master的话，slave将不会同步用户的密码字段信息。credentials是管理员的密码。
执行：

ldapmodify -Y EXTERNAL -H ldapi:/// -f rp.ldif

除此之外，为了优化openldap的查询速度，我们添加了相关字段属性的索引。

cat > index.ldif << "EOF"
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: uid eq,pres
olcDbIndex: uniqueMember eq,pres
olcDbIndex: uidNumber,gidNumber eq,pres
olcDbIndex: member,memberUid eq,pres
olcDbIndex: entryUUID eq
olcDbIndex: entryCSN eq
EOF

执行：

ldapadd -Y EXTERNAL -H ldapi:/// -f index.ldif

3、验证主从正确性

slave机器上配置完毕后，无需重启master机器和slave机器的slapd服务。

在slave机器上查看openldap日志，如下：

journalctl -u slapd -n 100 -f

在这里插入图片描述
通过上图，我们可以很明显的看到slave机器上slapd服务没有报错，而且已经在同步相关openldap数据。

现在切换到master机器上查看openldap日志，如下：

journalctl -u slapd -n 100 -f

在这里插入图片描述
通过上图我们也可以发现master没有报错，而且也看到slave机器已经在同步信息了。

现在我们再使用phpLDAPadmin工具，登录slave查看相关信息，如下：
在这里插入图片描述

通过上图，我们可以看到slave节点上已经有账号信息了。这也就说明OpenLDAP的master-slave已经在正常同步数据。

4、测试

可测试如下两点：
1、在master节点上修改用户字段信息，slave节点上应能同步到修改信息。
2、在slave节点修改用户字段信息，应该无法操作。因为我们采用的主从模式中，slave节点是自读的。

如果测试无问题，说明我们的主从的确正常运行。
LDAP查看命令
附ldap查看配置命令：
ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config
ldapsearch -x cn=test -b dc=local,dc=cn

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/diannao/30908.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！