Replication de serveur LDAP

Date: 11/12/2006 | Catégories: Reseau | Tags: ,

Voici la problèmatique: je souhaite répliquer l'intégralité d'un serveur LDAP sur un autre des serveurs (pour des raisons de migration progressive...).

Mon serveur maître est basée sur OpenLDAP (ce sera également le cas de mon serveur esclave).
En cherchant un peu sur le net, je suis tombé sur plusieurs articles sur le sujet. Il y deux solutions possible, utiliser slurpd ou bien syncrepl. Cette deuxième méthode, plus souple sera développée dans ce post.

Syncrepl se base sur LDAP Content Synchronisation. Il y peu ou pas de modification à faire sur le serveur maître.

Configuration du serveur maître:
Nous partons sur le principe ou le serveur maître fonctionne parfaitement (exemple donnée pour le domaine dc=nicolargo,dc=net).
Il faut dans un premier temps créer un utilisateur avec les droits minimum (en lecture). C'est cet utilisateur qui sera utilisé pour la synchronisation (exemple donnée avec cn=syncuser,dc=nicolargo,dc=net).
La deuxième étape consiste à ajouter les lignes suivantes au fichier /etc/openldap/slapd.conf:

overlay syncprov
syncprov-checkpoint 100 10
syncprov-sessionlog 100

Pour en finir avec le serveur maître, il faut relancer le serveur LDAP:

# service ldap restart

Configuration du serveur esclave:
Une fois openldap correctemet installé et configuré, il faut ajouter les lignes suivantes au fichier /etc/openldap/slapd.conf:

syncrepl rid=100
provider=ldap://:389
type=refreshOnly
interval=00:01:00:00
searchbase="dc=nicolargo,dc=net"
scope=sub
schemachecking=off
bindmethod=simple
binddn="cn=syncuser,dc=nicolargo,dc=net"
credentials=syncestec

La synchronisation se fera toutes les heures à l'initiative du serveur esclave.
Le protocole réseau utilisé entre les deux serveur est LDAP: TCP/389.

Il suffit alors de lancer le serveur:

# service ldap start

La première synchronisation devrait initialiser votre serveur esclave. Pour vérifier que tout est ok, vous pouvez taper la commande suivante:

# ldapsearch -x

Et voili, si vous avez des questions.... le blog est fait pour ca.

PS: URL du site officiel sur le sujet: http://www.openldap.org/doc/admin23/syncrepl.html

Partager ce billet