Ldap 增量同步配置

转载 已于 2022-12-20 16:49:33 修改 · 441 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://blog.csdn.net/weixin_44968323/article/details/128236716
文章标签:

#java #数据库 #开发语言

于 2022-12-15 17:02:59 首次发布

Ldap 增量同步配置

执行slappasswd命令,得到想要设置的管理员密码加密后的结果

[root@localhost ~]# slappasswd -s 123456
{SSHA}GaIBaSF+IGfjfYb0daeo4gCUeR/9RUa3

/etc/openldap目录下,创建slapd.conf文件,并编写增量复制相关配置
虽然在2.4.x的某个版本后,官网不再使用slapd.conf文件作为主配置文件,而是使用的是slapd.d目录中的配置文件
(并且不支持直接修改该目录下的文件,若想修改配置需要编写ldif文件修改)
但是对于增量复制的相关配置,官网给出的文档,依然是slapd.conf的方式进行的配置
所以此处进行slapd.conf的编写,再通过slaptest -f slapd.conf -F slapd.d命令生成slapd.d的配置目录

具体配置内容如下:

# 此处引入所有的schema,具体的schema在/etc/openldap/schema目录下,
# 不同的版本有schema有不同的区别,根据实际情况进行引入
include         /etc/openldap/schema/corba.schema
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/duaconf.schema
include         /etc/openldap/schema/dyngroup.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/java.schema
include         /etc/openldap/schema/misc.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/openldap.schema
include         /etc/openldap/schema/ppolicy.schema
include         /etc/openldap/schema/collective.schema
include         /etc/openldap/schema/pmi.schema

# Allow LDAPv2 client connections.  This is NOT the default.
# 允许LDAPv2客户端连接。这不是默认值
allow bind_v2

# 这两个文件包含启动 slapd 进程所用的 PID(进程 ID)和一些参数
pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

# Load dynamic backend modules
# - modulepath is architecture dependent value (32/64-bit system)
# - back_sql.la overlay requires openldap-server-sql package
# - dyngroup.la and dynlist.la cannot be used at the same time

#设置模块路径位置
#对应32位操作系统
#modulepath /usr/lib/openldap
#对应64位操作系统
modulepath /usr/lib64/openldap


#加载accesslog overlay
moduleload accesslog.la
#加载mdb后端
moduleload back_mdb.la
#加载syncprov overlay
moduleload syncprov.la
#加载memberof
moduleload memberof.la


# 访问控制
# enable on-the-fly configuration (cn=config)
database config
access to *
        by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
        by * none 
# enable server status monitoring (cn=monitor)
database monitor
access to *
    by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
        by dn.exact="cn=Manager,dc=my-domain,dc=com" read
        by * none    
#配置change log数据库,更新操作对应的日志记录就存储在这个数据库中
#这个数据库是增量复制环境所需要的
database mdb
maxsize 85899345920
suffix "cn=accesslog"
rootdn "cn=accesslog"
#使用上方加密后的结果
rootpw {SSHA}ClA5L0ecldZ2dfh8PTsxXXWyjacAwKnFZ
#这一项配置的是更新日志的存储路径,注意accesslog是一个目录而不是一个文件,从directory 这个关键字也可得知。
#=====注意=======此处需要先创建出如下的目录,否则启动会报错
directory /var/lib/ldap/accesslog
index default eq
index entryCSN,objectClass,reqEnd,reqResult,reqStart,reqDN

#设置让dn管理员可无限制地搜索
limits dn.exact="cn=example" time.soft=unlimited time.hard=unlimited size.soft=unlimited size.hard=unlimited

#配置复制引擎
overlay syncprov
syncprov-nopresent TRUE
syncprov-reloadhint TRUE


#配置主数据库,即目录树数据存储的数据库
database mdb
maxsize 85899345920
#表示目录数的根节点,一切的数据存储都是基于该节点进行存储的,所以它是base节点。
suffix "com=example"
#checkpoint 确定写入真实数据库前保留在事务日志中的数据量(以 KB 为单位)以及两次写操作之间的时间(以分钟为单位)。
checkpoint 1024 15
#表示管理员。 此处根据实际情况自定义,我这里的管理员为`cn=example`
rootdn "cn=example"
#表示管理员密码 #使用上方加密后的结果
rootpw {SSHA}ClA5L0eclredZ2dfh8PTsXxWyjacAwKnFZ
#表示主数据库的数据存储路径,这个路径最好不要与change log数据库的路径一样
directory /var/lib/ldap

# syncprov 特定索引
index entryCSN eq
index entryUUID eq

# syncrepl 主数据库
##设置复制检查点
overlay syncprov
syncprov-checkpoint 1 1

# 开启memberof
overlay memberof

#设置日志级别
loglevel        17152

#设置overlay accesslog
overlay accesslog
logdb cn=accesslog
logops writes
logsuccess TRUE
#每天扫描一次操作日志数据库, 并清除30天前的条目
logpurge 30+00:00 01+00:00
#设置让dn管理员可无限制地搜索
limits dn.exact="cn=example" time.soft=unlimited time.hard=unlimited size.soft=unlimited size.hard=unlimited

#root.ldif   创建根节点
dn: com=example
objectClass: domain
objectClass: top
domain: example
    
ldapadd -x -D "cn=example" -w h2G1jmdRCacAVa7l -f root.ldif

删除原有配置,重新配置

#进入openldap安装目录
cd /etc/openldap

#备份原有配置文件目录slapd.d
mv slapd.d slapd.d_bak

#创建新的slapd.d目录
mkdir slapd.d

#清除/var/lib/ldap下的目录
rm -rf /var/lib/ldap/*
#需要提前创建出配置文件中directory所对应的目录,否则会报错
mkdir /var/lib/ldap/accesslog


#根据新的slapd.con配置文件,生成新的配置文件到新建的slapd.d目录下
#执行该命令时会报错,属于正常现象,因为我们在配置文件中修改了数据库为mdb,重启后就好了
#执行完之后可以进入slapd.d目录下,可以看到已经生成了相应的配置文件
#报错内容如下:
#63900159 mdb_db_open: database "cn=accesslog" cannot be opened: No such file or directory (2). #Restore from backup!
#63900159 backend_startup_one (type=mdb, suffix="cn=accesslog"): bi_db_open failed! (2)
#slap_startup failed (test would succeed using the -u switch)
slaptest -f slapd.conf -F slapd.d
slaptest -u

#赋予权限
chown -R ldap.ldap /var/lib/ldap
chown -R ldap.ldap slapd.d

#重启ldap
systemctl restart slapd

参考Ldap增量同步配置

Rebel_z
关注
LDAP之:OpenDJ 的同步状态自动巡检
运维呆子 的博客
08-03 948
背景 由于公司用了opendj的开源版本作为LDAP使用,需要监测LDAP同步状态,并且每天发巡检日报,因此就有了如下的脚本,做了定时任务,每天自动巡检并发送邮件通知管理员查看结果, 具体实现如下 1、定时任务,crontab.sh 功能,通过定时任务调用expect做的OpenDJ同步状态检查脚本,查询完成后将结果通过邮件发送给管理员,每天就可以早上安逸的点开邮件然后发日报了,想做自动巡检并发日报的,但是写起来太麻烦,就算了。 #!/bin/bash #功能: 检查opendj的状态是否正常,如果异常
LDAP数据同步服务设计思路
bossfriday - 个人博客
09-09 1413
LDAP数据同步服务设计思路
ldap-sync:用于与其他后端进行单向实时 LDAP 同步的服务
06-14
LDAP 同步 该软件的目标是同步 LDAP 和其他后端(如 redmine 和 google 应用程序)之间的更改。 安装 您可以使用 npm 将此软件安装到全局上下文中: sudo npm install git+https://github.com/conversionscience/ldap-sync.git -g 配置 ldap-sync二进制文件将在/etc/ldap-sync/config.json 中搜索配置,如果导入失败将​​引发错误。 配置文件由五个部分组成,可以是: { "connection": { "uri": "ldap://localhost" }, "bind": { "binddn": "cn=Manager,dc=domain,dc=com", "password": "password" }, "s
Ldaptive 实时同步
Rebel_z的博客
12-12 1182
为了提高性能和减少网络传输,ldap数据同步协议要求客户端发起同步请求时,提供一个 cookie (最开始的请求除外)。服务端根据此cookie来决定发送给客户端的数据,客户端根据接收到的数据来处理本地的 ldap 条目。在同步完成之后,客户端必须更新 cookie,用于下次同步。Cookie是服务端计算(查询本地条目)的依据。在每种模式中,都涉及到如何计算数据的变化,包括:添加的数据、修改的数据以及删除的数据。
openldap部署,同步群辉LDAP的数据
tuonian的博客
07-15 2383
使用openLDAP 搭建从服务,同步群里的LDAP数据
自用LDAP同步
01-19
4. **同步策略**:根据需求设置同步规则,例如增量同步(仅更新变化的部分)、全量同步(定期刷新整个目录)或实时同步(任何更改立即反映到LDAP)。 5. **测试与监控**:在实际部署前进行测试,确保数据正确无误地...
Sync_Data.rar_C LDAP AD_c++ ldap_ldap_数据同步
09-21
全量同步会复制所有数据,而增量同步仅复制自上次同步以来发生更改的数据。同步过程可能需要处理冲突、过滤不必要的数据和优化性能。 4. **C++编程实践**: 在实现数据同步时,C++程序员需要关注线程安全、错误...
LDAP服务器管理 并配置 Confluence 同步LDAP目录
08-29
print("LDAP同步配置失败,请检查配置信息。") except Exception as e: print(f"发生错误:{e}") # 模拟连接LDAP服务器函数 def connect_to_ldap(server): # 实际代码中需使用LDAP库进行连接 print(f"连接到...
文件服务器怎么和域同步ldap,ad域和ldap服务器搭建
weixin_42136365的博客
08-10 1505
ad域和ldap服务器搭建 内容精选换一换OneAccess支持通过AD认证用户身份和控制权限。AD全称Active Directory,中文名称活动目录。您可以将AD简单理解成一个数据库,其存储有关网络对象的信息,方便管理员和用户查找所需信息。本文主要介绍OneAccess集成AD认证源的方法。该配置流程以用户PC端访问用户门户为例,您可以按需选择应用和配置应用的认证方式,配置活动目录(Acti...
通达OA与LDAP双向同步如何实现?
最新发布
10-05
- 完成[LDAP单向同步配置](https://www.tongda2000.com/support/question.php?qid=1493)(参考此前流程)[^1] - **开启写权限**:在LDAP配置中启用`可写权限`选项(需LDAP服务支持写操作) - **字段映射扩展**: ...
LDAP】Spring项目同步LDAP域用户信息总览(含ldapTemplate.search仅查询1000条数据的解决方案)
Etui۹(・༥・´)و的博客
12-01 3259
轻量级目录访问协议LDAP是一种开放的、供应商中立的行业标准应用协议,用于通过Internet 协议(IP) 网络访问和维护分布式目录信息服务。目录服务允许在整个网络中共享有关用户、系统、网络、服务和应用程序的信息,因此在开发Intranet和 Internet 应用程序中发挥着重要作用。例如,目录服务可以提供任何有组织的记录集,通常具有分层结构,例如公司电子邮件目录。类似地,电话簿也是具有地址和电话号码的用户列表。
LDAP主从同步(这篇文章有些问题 问题点在最后 之后可能会大改)
XXxia1XX的博客
08-11 633
环境:LDAP主服务器 192.168.234.4 已开启TLS认证LDAP从服务器 192.168.234.2 配置了初始LDAP服务。
OpenLDAP 数据同步
weixin_34034670的博客
07-24 2977
一、数据同步模式refreshonly模式refreshandpersist模式ldap:389ldaps:636二、LDAP 数据同步server端IP:172.16.216.157[root@openldap~]#cd/usr/local/openldap.2.4.46/etc/openldap/ [root@openldapopenldap]#vimslap...
SANGFOR防火墙配置上网认证,LDAP自动同步失败
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
12-13 687
SANGFOR防火墙配置上网认证,LDAP自动同步失败,创建外部认证服务器并测试成功。1.LDAP自动同步选择之前域服务。2.再次同步,刷新查看结果即可。LDAP自动同步失败。
同步LDAP数据到ElasticSearch
weixin_43437629的博客
05-05 780
背景 、需求 在有数十万,甚至上百万的账号有AD(LDAP)中,通过某个字段匹配出符合要求对象的耗时是难以忍受的,作者在100w+的AD账号中搜索电话号码(AD中未加索引),耗时超过10min。有同学可能会提到说,可以对这些字段加索引就能解决,事实上是不可能的,索引本身会带来大量的磁盘消耗,如果对memberof这样的长字符串加索引更加不现实。于是作者实现将AD(LDAP)对象同步到elastic...
蓝鲸社区版5.1接入ldap认证
yanggd1987的专栏
03-03 3771
简介 蓝鲸社区版5.1 介入公司内部ldap认证 官方文档社区版: 蓝鲸登录接入企业内部登录中已经通过接入google登录的例子进行说明;但是公司内部只有ldap作为内部服务的统一认证,并不提供相关登录API。 以上恐怕也是很多中小企业的现状,这种情况下该如何进行接入ldap呢? 别急,我们先来看下源码是怎么实现的? 源码解析 下面我们来分析下蓝鲸paas平台统一登录服务基本函数接口来看下登录流程...
Openldap/ldap 双向同步/复制/Mastsr/slave
weixin_34040079的博客
11-20 434
1. 环境说明 用于做openldap同步的两台电脑的IP为192.168.0.181,192.168.0.182 其中192.168.0.181 为主服务器,192.168.0.182为从服务器 两台电脑的系统都为fedora6,并且已经装好openldap,其管理员为cn=Manager,dc=my-domain,dc=com,密码为secret Openldap的详细配置请参...
基于LDAP集中系统用户认证系统
congjiong8459的博客
07-16 885
OpenLdap 使用Berkely-DB来作为数据库存储信息,它是一个为了查询、浏览和搜索而优化的分布式数据库,呈树状组织结构。它是C/S结构模式,需要分别安装server和client服务,server存储数据,client...
基于飞书组织架构和用户信息同步构建本地LDAP服务
yuzijiang11111的博客
11-24 3733
基于飞书的人员组织架构同步搭建LDAP目录服务,为应用系统提供统一的身份认证和访问授权,这样就不需要额外的人力去维护本地应用系统内的账号体系,直接打通了各应用系统之间的组织架构和账号信息。以及当有员工状态变更(入离调转)的时候,能及时同步,就能避免出现授权外的访问,极大提高运维效率和员工的访问体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值