LDAP - Replication Einrichten funktioniert nicht

[lars8998]

Hallo,

auf einem Debian Etch und Ubuntu 6.10 versuche ich eine Replikation von zwei LDAP Servern. Ich habe verschiedenes ausprobiert und auch Herrn google gefragt und hier im Forum gesucht, jedoch keine Lösung gefunden. Vielleicht könnt Ihr mir helfen. Hier die Auszüge der jeweiligen Konfiguration der slapd.conf:

Ubuntu 6.10 ist Master
# Where to store the replica logs for database #1
replogfile /var/lib/ldap/replog
### slurpd
#replogfile /var/lib/openldap/slurpd/slapd.replog
replica host=10.1.5.58:389
binddn="cn=admin,dc=myldap"
bindmethod=simple
credentials=kennwort

Debian Etch Slave
### slurpd
updatedn "cn=admin,dc=myldap"
updateref uri=ldap://10.1.5.60:389

In meinen Quellen (Web, Foren, Bücher) werden jetzt zwei verschiedene Dateien angegeben, die ein replog schreiben für die Replikation:
slapd.replog
Diese Datei wird nicht geschrieben wird. Ich habe verschiedene Pfade, etc. ausprobiert, was erfolglos war.
slurpd.replog
Diese Datei wird geschrieben, jedoch nicht unter dem Pfad wie in der Konfigurationsdatei auf dem Master angegeben, sondern unter /var/spool/slurpd/replica
Der Inhalt ist so wie in meinem Quellen beschrieben, scheint ein guter Anfang zu sein. Der Inhalt der Datei wird jedoch nicht repliziert.
Kann alles gedebugt werden? Ich weiss nicht wie bzw. der übliche Weg führt bei mir nicht zum Erfolg....


Betreibt jemand von Euch einen Replication Server und kann Tipps geben, was ich noch kontrollieren sollte?

Noch eine Frage: Werden auch neue Einträge auf dem Master repliziert auf den Slave? Oder werden nur Änderungen repliziert? Wenn ja, hat jemand von Euch schon einmal LDAP Sync angewendet. Eigentlich will ich auch Objekte replizieren….


Vielen Dank schon jetzt und Grüße,

|LARS

[Bert]

Willkommen bei OpenLdap. Was mich das schon graue Haare gekostet hat

ich hab das mit dem snyc Mechanismus am laufen. Zusätzliche Einträge auf in der Master slapd.conf:

Code: Alles auswählen

overlay syncprov
syncprov-checkpoint 100 10
syncprov-sessionlog 100

und auf dem Client:

Code: Alles auswählen

syncrepl rid=111
    provider=ldap://yourmaster
    type=refreshOnly
    interval=0:00:05:00
    retry="60 +"
    searchbase="dc=bla,dc=foo,dc=org"
    filter="(objectClass=*)"
    scope=sub
    attrs="*"
    schemachecking=off
    bindmethod=simple
    binddn="cn=admin,dc=bla,dc=foo,dc=org"
    credentials=StrengGeheim

Ist schon eine Weile her, das ich das eingerichtet hab, kann daher aus dem Kopf nicht viel zu den einzelnen Parametern sagen.

Es werden auch neue Objekte repliziert.

Hoffe es hilft.

Bert

PS: Mods: bitte in richtiges Forum (weitere Dienste) schubsen.

[Savar]

PS: Mods: bitte in richtiges Forum (weitere Dienste) schubsen.

Dein Wunsch ist mir Befehl

[lars8998]

Hallo,

leider hat es nicht funktioniert mit Deiner Hilfestellung.
Ich kann nach wie vor das replog nicht schreiben.

Vielleicht noch eine Idee oder Anregung?


|LARS

[Bert]

Es gibt (nach meinem eher rudimentären OpenLdap Wissen) 2 Arten der Replication. Die von mir oben beschriebene kommt ohne eine Zwischendatei aus.

Im OpenLdap Admin Buch ist dies sogar beschrieben (da hat ich das damals her), eventuell mal googlen nach den in meinem Beispiel verwendeten Parametern.

Bei Problemen bitte angeben was Du gemacht hast und was nicht geht. Sonst klann Dir keiner helfen.

Gruß und schönes WE
Bert

[duser100]

Betreibt jemand von Euch einen Replication Server und kann Tipps geben, was ich noch kontrollieren sollte?

Von Debian Etch -> Debian Etch über LDAPS klappt´s hier. Wobei dabei das grössere Problem die Zertifikate waren. Nachdem du die aber nicht verwendest...

Noch eine Frage: Werden auch neue Einträge auf dem Master repliziert auf den Slave? Oder werden nur Änderungen repliziert? Wenn ja, hat jemand von Euch schon einmal LDAP Sync angewendet. Eigentlich will ich auch Objekte replizieren….

So weit ich das verstanden habe werden so wie so NUR die neuen Einträge repliziert. Das heißt wenn du da einen Eintrag (z.B uid=duser100) vom Master zu ´nem frisch installierten 'nackten Slave' überträgst der am Master irgendwo unter ou=users,ou=irgendwas,dc=server,dc=com zu finden ist dann wird das nach meiner Erfahrung erst dann klappen wenn´s ou=users,ou=irgendwas auch schon am Slave gibt. So fern ich das von der Openldap-Doku in Erinnerung habe ist es aber auch so gedacht daß man erst alles vom Master exportiert (z.B. als LDIF) und dann am Slave importiert (und erst ab dann die Replication per 'sluprd' losgeht).


Was ich gern wissen würde: Klappt´s bei euch von ´nem LDAP-User als eben der authentifizierteLDAP-User das Passwort zu ändern (passwd, ldappasswd)? Ich bilde mir ein das hat mit dem RH-Server damals noch einfacher geklappt - aber 'out of the box' dürfte das mit dem Debian nicht funktionieren.

[mauser]

Noch eine Frage: Werden auch neue Einträge auf dem Master repliziert auf den Slave? Oder werden nur Änderungen repliziert? Wenn ja, hat jemand von Euch schon einmal LDAP Sync angewendet. Eigentlich will ich auch Objekte replizieren….

Moin.

Um mal das Chaos etwas zu lichten:
Wie Bert schon korrekt bemerkte: Es gibt 2 Methoden mit OpenLdap zu synchronisieren. Wir hätten da einmal die Methode mit dem syncrepl-Overlay und dann die Methode mit slurpd. slurpd ist ein eigenes Programmes welches log-Dateien im ldif-Format einliest und dann per LDAP-Protocol an Slaves weitergibt. Syncrepl ist ein overlay welches die Daten direkt an die Slaves weitergibt.

Ich habe mehrere Ldap-Server im Einsatz welche sich alle per syncrepl replizieren. Syncrepl ist meiner Meinung nach einfacher einzusetzen und weniger Fehleranfällig.
Um auf deine Frage zurückzukommen: Auch neue Einträge werden mit syncrepl auf die Slaves übertragen. Du solltest allerdings darauf achten das Master und Slaves dieselben Schema-Files verwenden, ansonsten kann es zu interessanten Problemen kommen.

An eurer Stelle würde ich mal in die Ldap-Logs schauen. Entweder mal den slapd mit dem Debug Parameter starten oder in der slapd.conf den Loglevel hochdrehen. Infos wie sich die Log-Level zusammensetzen gibts bei google Ein slapd -d -1 ist zwar aufwendig zu lesen, hat mir aber schon weitergeholfen.

Gruss,
mauser