生产环境OpenLDAP主从集群

已于 2024-06-20 17:00:46 修改
阅读量754 收藏 20
点赞数 17
分类专栏: 项目实战 文章标签: php 服务器 开发语言
于 2024-06-20 17:00:04 首次发布
未经本人允许,禁止转载,谢谢合作 南宫乘风
本文链接:https://blog.csdn.net/heian_99/article/details/139837315
版权

1、背景

在很多组织中,需要对用户和系统进行统一的身份认证和授权管理。为了实现这一目标,通常会使用LDAP(轻量级目录访问协议)来构建集中化的身份认证和授权服务。而在生产环境中,为了保证高可用性和可扩展性,需要构建OpenLDAP主从集群来提供稳定的身份认证服务。

2、环境

在开始部署之前,需要准备以下环境:

  • 操作系统:Centos7
  • OpenLDAP版本:OpenLDAP: slapd 2.4.44
  • 服务器数量:2台(1台主服务器和1台从服务器)
  • 网络环境:两台服务器应在同一局域网内,确保网络连接稳定

3、主节点安装

清参考下方链接
https://blog.csdn.net/heian_99/article/details/138963912

在这里插入图片描述

4、从节点安装

假设master节点的地址为192.168.102.20。对于master节点,完全参照前述章节操作并配置好。

对于slave节点,也参照前述章节安装并配置,但只到执行ldapdomain.ldif文件后就行。也就是设置了管理员用户账号就行,不用添加部门或其它人员信息。另外,phpLDAPadmin可以安装。

1、配置master节点

在master节点上,我们需要导入相关的信息。

创建syncprov_mod.ldif文件:

cat > syncprov_mod.ldif << "EOF"
dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulePath: /usr/lib64/openldap
olcModuleLoad: syncprov.la
EOF

执行:

ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov_mod.ldif

创建syncprov.ldif文件:

cat > syncprov.ldif << "EOF"
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpCheckpoint: 1 1
olcSpSessionLog: 1024
EOF

执行:

ldapadd -Y EXTERNAL -H ldapi:/// -f syncprov.ldif

2、配置slave节点

在slave节点上配置主从。

创建rp.ldif文件:

cat > rp.ldif << "EOF"
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcSyncRepl
olcSyncRepl: rid=001
    provider=ldap://192.168.102.20:389
    bindmethod=simple
    binddn="cn=Manager,dc=fujfu,dc=com"
    credentials=examplePassword
    searchbase="dc=fujfu,dc=com"
    scope=sub
    schemachecking=on
    type=refreshAndPersist
    retry="30 5 300 3"
    attrs="*,+"
    interval=00:00:02:00
EOF

provider表示master的地址,其他的都是些基础信息。需要注意的是认证用户一定要使用超级管理员,如果使用普通用户连接master的话,slave将不会同步用户的密码字段信息。credentials是管理员的密码。
执行:

ldapmodify -Y EXTERNAL -H ldapi:/// -f rp.ldif

除此之外,为了优化openldap的查询速度,我们添加了相关字段属性的索引。

cat > index.ldif << "EOF"
dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: uid eq,pres
olcDbIndex: uniqueMember eq,pres
olcDbIndex: uidNumber,gidNumber eq,pres
olcDbIndex: member,memberUid eq,pres
olcDbIndex: entryUUID eq
olcDbIndex: entryCSN eq
EOF

执行:

ldapadd -Y EXTERNAL -H ldapi:/// -f index.ldif

3、验证主从正确性

slave机器上配置完毕后,无需重启master机器和slave机器的slapd服务。

在slave机器上查看openldap日志,如下:

journalctl -u slapd -n 100 -f

在这里插入图片描述
通过上图,我们可以很明显的看到slave机器上slapd服务没有报错,而且已经在同步相关openldap数据。

现在切换到master机器上查看openldap日志,如下:

journalctl -u slapd -n 100 -f

在这里插入图片描述
通过上图我们也可以发现master没有报错,而且也看到slave机器已经在同步信息了。

现在我们再使用phpLDAPadmin工具,登录slave查看相关信息,如下:
在这里插入图片描述

通过上图,我们可以看到slave节点上已经有账号信息了。这也就说明OpenLDAP的master-slave已经在正常同步数据。

4、测试

可测试如下两点:
1、在master节点上修改用户字段信息,slave节点上应能同步到修改信息。
2、在slave节点修改用户字段信息,应该无法操作。因为我们采用的主从模式中,slave节点是自读的。

如果测试无问题,说明我们的主从的确正常运行。
LDAP查看命令
附ldap查看配置命令:
ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config
ldapsearch -x cn=test -b dc=local,dc=cn

南宫乘风
关注
  • 17
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
openldap2.4主从服务器配置
zouahaijun的专栏
09-09 5302
master slapd.conf配置:## See slapd.conf(5) for details on configuration options.# This file should NOT be world readable.#include         /etc/openldap/openldap/schema/core.schemainclude    
centos6.7OpenLDAP主从配置
05-15
该文档主要介绍在centos6.7系统上部署openldap主从配置
OpenLDAP主从
wuxingge的博客
06-14 420
参考 https://blog.csdn.net/oyym_mv/article/details/94639020 安装至少两个ldap节点 参考 https://blog.csdn.net/wuxingge/article/details/117780560 主节点配置(192.168.41.13),添加模块syncprov vim mod_syncprov.ldif dn: cn=module,cn=config objectClass: olcModuleList cn: module olcModu
openldap主从服务器配置(备忘)
zouahaijun的专栏
08-31 2092
 Setup two OpenLDAP servers, one Master, one Slave, so when an entry in one of the servers is changed it is automatically changed in the other server. This is handy so you can distribute the load be
Centos7OpenLDAP主从配置
05-16
本文档是参考了官网文档及网上多篇openldap安装及主从部署文档,详细描述了部署过程
应用Linux上OpenLDAP集群
03-19
NULL 博文链接:https://binglanhuoli.iteye.com/blog/721455
OpenLdap环境搭建.docx
10-12
在本文中,我们将深入探讨如何在CentOS环境中搭建OpenLDAP,包括基础组件的安装、导入基本的组织架构以及验证安装是否成功。OpenLDAP是一个开源的轻量级...记得在生产环境中根据实际需求进行调整,确保安全性和稳定性。
CentOS 7 环境下 OpenLDAP 的安装与配置
11-02
centos环境 openldap环境搭建与配置
实战部署openldap主从架构
weixin_33884611的博客
05-26 758
一、openldap介绍二、openldap特点三、openldap相关缩写四、openldap组件五、openldap环境规划六、openldap部署---Master端七、openldap部署---Slave端八、openldap使用LAM工具管理九、Master-Slave测试是否同步一、openldap介绍:LDAP是轻量目录访问协议(Lightweight Dire...
CentOS7下OpenLDAP统一认证的主从环境部署记录
justlpf的专栏
04-17 647
同样,在slave上也需要配置syncrepl,因为syncrepl实现的主从复制是单向的,即master的所有操作都会同步到slave上,slave无法同步到master上,为了避免master与slave上的数据不一致,slave上禁止对ldap信息的增删改操作,只允许查询操作。Ldap由于scheam的控制,文件里的属性有严格的控制,错误的或者不存在的属性将无法执行ldif文件,所以ldif文件的字体颜色会帮助我们配置ldif文件(属性:绿色,属性值:红色)同步系统时间(两个节点机器上都要操作)
linux7 openldap,centos7 openldap主从部署安装
weixin_42165018的博客
05-16 388
安装说明:从OpenLDAP2.4.23版本开始所有配置数据都保存在slapd.d目录中,不再使用slapd.conf作为配置文件有两种配置方式,一种是通过修改slapd.conf,再用slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/导入。一种是通过编辑ldif文件,再用ldapadd命令导入。本文采用第二种方式,这种方式...
OpenLDAP开启MemberOf及配置主从
格子的博客
07-05 1427
很多场景下,我们需要快速的查询某一个用户是属于哪一个或多个组的。`memberOf` 正是提供了这样的一个功能:如果某个组中通过 `member` 属性新增了一个用户,`OpenLDAP` 便会自动在该用户上创建一个 `memberOf` 属性,其值为该组的 `dn`。遗憾的是,`OpenLDAP` 默认并不启用这个特性,因此我们需要通过相关的配置开启它...............
Docker+Openldap 主从复制
老实人的博客
11-03 1135
Docker + Openldap 实现主从复制 文档目的: 网络上大部分都是在一台服务器上安装多个Docker Openldap 来实现主从复制,如果单台服务器出现故障呢?服务器硬盘出现故障?网络不可访问?那岂不是没有任何意义?所以本文档实现方式在多台服务器上安装 Docker Openldap 来实现跨服务器主从,并且可以加上高可用。 文档风格: 简单、粗暴,按照文档步骤即可实现部署完成并投入使用。 Docker Openldap 安装 安装 docker 此处不做过多说明,网络上很多文档随便搜一篇
OpenLDAP部署及管理维护
袁瑞麟的专栏
03-15 362
这篇https://blog.csdn.net/weixin_42578481/article/details/80863890 是正确的。 其中slaptest运行的时候,由于碰到权限问题,我加了-u参数解决。 slapd.conf中的@BACK_END@用bdb取代。要填正确的rootpw和rootdn。权限这边设定,@Admin@修改成自己的root管理员,如"cn=admin,dc=e...
ldap主备搭建
搬砖小胖子
08-06 1018
主 172.20.101.110 1234567890 {SSHA}0czCEpE4oFSN5Xunh4nkUOwsNzlmPr0L3 备 172.20.101.111 1234567890 {SSHA}GLwXk3B4ZKD0RzIwrchi119Kv2ZhH9T+1 主环境搭建 一、准备环境 1、关闭selinux firefalld setenforce 0 system...
ldap创建主从和主主复制协议
weixin_38178849的博客
05-06 2042
此文档基于linux操作系统 opendj2.6.0版本 创建ldap主从复制协议,实现高负载访问 假设有四台ldap服务器,创建二台为主服务器,二台为从服务器,具体操作如下: 1.在第一台ldap服务器上,使用指令创建主主复制协议. ./dsreplication \ enable \ --adminUID admin \ --adminPassword
HPC集群之LDAP介绍及使用
最新发布
星猿科技的博客
12-29 884
在高性能计算(HPC)集群的环境中,用户管理是确保系统高效运行的关键组成部分。常用的用户管理软件有LDAP、AD和NIS。OpenLDAP,作为一个广泛使用的轻量级目录访问协议(LDAP)实现,为HPC集群的用户管理提供了强大的支持。本文将介绍OpenLDAP的基础知识,它在HPC集群中的作用,以及如何在这种环境中实现用户管理。OpenLDAP是一个开源的LDAP实现,广泛用于各种规模的企业和组织中。它提供了一种机制,用于存储和检索组织中个人、群组和其他资源的信息。
Centos7 Openldap主从配置
htvxjl02的博客
05-16 4056
参考了网上多篇文档,大都是centos6.x系统上通过slapd.conf配置部署的,centos7上默认是动态部署的,通过yum安装发现无slapd.conf文件,研究了近半个多月,才初步实现如下所示的同步。环境:虚拟机centos7系统192.168.56.147 主openldap 192.168.56.148 从openldap  安装ldap服务viinstallOpenldap.s...
openldap 2.2版本主从配置
05-30
要实现OpenLDAP 2.2版本的主从配置,需要按照以下步骤进行: 1. 首先,确保主服务器和从服务器都安装了OpenLDAP 2.2版本,并且已经配置好了基本的LDAP服务。 2. 在主服务器上,编辑slapd.conf文件,添加以下内容: replication host=从服务器IP地址:LDAP端口 binddn="cn=管理员账号,dc=域名,dc=com" bindmethod=simple credentials=管理员账号密码 searchbase="dc=域名,dc=com" scope=sub schemachecking=on type=refreshAndPersist retry="60 +" interval=00:00:05:00 3. 在从服务器上,同样编辑slapd.conf文件,添加以下内容: syncrepl rid=001 provider=ldap://主服务器IP地址:LDAP端口 type=refreshAndPersist interval=00:00:05:00 searchbase="dc=域名,dc=com" scope=sub schemachecking=on bindmethod=simple binddn="cn=管理员账号,dc=域名,dc=com" credentials=管理员账号密码 4. 在主服务器上,使用ldapadd命令添加以下配置到LDAP数据库: dn: olcDatabase={0}config,cn=config changetype: modify add: olcSyncRepl olcSyncRepl: rid=001 provider=ldap://从服务器IP地址:LDAP端口 bindmethod=simple binddn="cn=管理员账号,dc=域名,dc=com" credentials=管理员账号密码 searchbase="dc=域名,dc=com" scope=sub schemachecking=on type=refreshAndPersist retry="60 +" interval=00:00:05:00 5. 在从服务器上,同样使用ldapadd命令添加以下配置到LDAP数据库: dn: olcDatabase={1}hdb,cn=config changetype: modify add: olcSyncRepl olcSyncRepl: rid=001 provider=ldap://主服务器IP地址:LDAP端口 bindmethod=simple binddn="cn=管理员账号,dc=域名,dc=com" credentials=管理员账号密码 searchbase="dc=域名,dc=com" scope=sub schemachecking=on type=refreshAndPersist retry="60 +" interval=00:00:05:00 6. 最后,重新启动OpenLDAP服务,在主服务器和从服务器上分别使用slapcat命令检查LDAP数据库是否同步成功。 以上就是OpenLDAP 2.2版本主从配置的步骤,希望能对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

南宫乘风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值