LDAP フェイルオーバーLDAPサーバーの構成

この記事では、 389 Directory Server （別名Fedora Directory Server、別名Redhat Directory Server）について説明します。 LDAPがディレクトリサーバーへのアクセスに使用されたことがたまたま起こりました。 LDAPを使用したことがない場合は、Wikipediaの記事（ ここではディレクトリサービスについて、 ここではLDAPプロトコルについて）を読むことを強くお勧めします。



そのため、まず、ディレクトリサービスサーバー（以降、LDAPサーバーと呼びます）を使用する理由について簡単に説明します。 LDAPサーバーは、主にアカウントとそれに関連するすべてのストレージを集中管理するために使用されます。 LDAPサーバーは階層型データベースです。つまり、任意のデータを格納できます。



論理的な質問は次のように思われます：なぜLDAPなのか？ MySQLまたはPostgreSQLでアカウントを保存するのが難しいのはなぜですか？ 答えは明らかです-何も=）



しかし、RDBMSに比べて、ディレクトリサービスには多くの利点があります。

• これが標準です。 多くのアプリケーションは、LDAPを介した認証/承認をサポートしています。
• データは階層ツリーとして保存されます。これにより、ツリーの目的の部分を強調表示することにより、効率的な検索操作を行うことができます。
• 読み取り操作の数は、書き込み操作の数よりも数千倍多く、この点で非常に多くの利点があります。トランザクションとロールバックを使用する必要がなく、レプリケーションはRDBMSに固有の問題なく動作します。
• アプリケーションは、すべてのディレクトリサービスサーバーで同じ情報を表示する必要があります。サーバーがクライアントアプリケーションに必要な情報を保存しない場合、別のサーバーに要求したり、アプリケーションを別のサーバーにリダイレクトしたりできます。
• 上記のディレクトリサービスの機能により、このサービスは完全に水平に拡張されます。

ディレクトリサービスサーバーが389 Directory Serverになりました。 このLDAPサーバーの履歴は、Netscapeと密接に関連しています（興味がある場合は、 ここで履歴を読むことができます ）。







このLDAPサーバーの主な機能：

• マルチマスター複製。 MMレプリケーションに参加しているすべてのサーバーに同時にデータを書き込むことができ、変更ログデータベースと自動競合解決システムのおかげで、レプリケーションの競合が自動的に解決されます。 MMレプリケーションは、マスタースレーブおよびカスケードレプリケーションと組み合わせることができるため、柔軟でスケーラブルなサービスを利用できます。 部分レプリケーションもサポートされています。これは、レプリカ上にデータを存在させたくない場合に非常に役立ちます。
• 強力なACLエンジン。 ACLを使用して、誰に、いつ、どのLDAPサーバーに、どの属性とどのアクションを実行するかを指定できます。 ACLは、操作属性としてデータとともに保存されます。これが、他のデータと同様に、ACLに対して複製およびバックアップ操作が機能する理由です。
• Microsoft Active Directoryとの同期。 ユーザー、グループ、パスワードの双方向同期がサポートされています（ADから389-dsにパスワードを同期するには、各ドメインコントローラーに特別なソフトウェアを配置する必要があります）
• SSL / TLS。 単純なSSL / TLSサポートは、現時点では誰も驚かないでしょう。 389-dsは、SSL証明書に基づく認証/承認をサポートします。 ディスクへの書き込み時に属性を暗号化することもできます。 サーバーの起動時に手動でキーを入力した場合、データベースからファイルをコピーすることでデータ漏洩を防ぐことができます。
• LDAPを介したサーバー管理。 サーバーは、cn = configの属性を変更することにより構成をサポートします。ほとんどのパラメーターは、サーバーを再起動せずに適用されます。 また、サーバーで、cn = tasks、cn = configに新しいエントリを追加することにより、バックアップ/復元およびその他のタスクを開始できます。
• プラグイン すべての機能はプラグインの形式で実装されます（MMレプリケーション、ADとの同期、ACLなど）。 プラグインの作成と追加はとても簡単です。 例を含む優れたドキュメントがあります。

389 Directory Serverを確認した後、その構造を詳しく見ていきます。

389 Directory Serverの一般的な構造

389 DSはいくつかのコンポーネントで構成されています。

• ディレクトリサーバー自体。 これはns-slapdアプリケーションです。クライアントからの要求を受信して​​処理し、データベースにデータを複製、読み取り、書き込み、プラグインに制御を転送するなどのプロセスです。
• 管理サーバー ディレクトリサーバーを管理します。 サーバーは、HTTP（S）プロトコルを介して管理インターフェースを提供し、ログおよび複製ステータスを表示するためのWebインターフェースも提供します。 物理的には、これらはns-slapdを管理するためのApache +モジュールです。
• 管理コンソール 管理サーバーに接続し、便利なインターフェイスを介してディレクトリサーバーを設定できるJavaアプリケーション。 WindowsおよびLinux用のバージョンがあります。MacOSでは、LinuxマシンからXセッションを転送することで機能します。

最初は理論的部分と実用的部分を別々に書きたかったのですが、最初の部分は退屈になりすぎ、2番目の部分は乾燥しすぎることが明らかになりました。 したがって、理論の一部の直後に実用化されます。



だから挑戦。 フォールトトレラントディレクトリサービスを構成する必要があります。 これを行うには、2つのサーバーを構成し、それらの間のマルチマスターレプリケーションを構成し、移動IPアドレスを上げます（pacemaker + openais）。







サーバーの1つが使用できなくなった場合、他のサーバーがこのIPを引き継ぎ、サービスは引き続き動作します。







サーバーが復元されると、データがサーバーに複製され、IPアドレスがLDAP00に切り替えられます。または、クラスター構成に応じて、LDAP01に残ります。







同じサーバー上に、独自の設定、スキーマ、レプリケーションルールなどを持つ複数の分離されたns-slapdインスタンスが存在する場合があります。 これらのインスタンスを管理コンソールから管理できるようにするには、各サーバーに管理サーバー（以降、管理サーバー）が必要です。 管理サーバー自体には、実行時設定が保存されているため、1つのLDAPサーバーインスタンスが必要です。 デフォルトでは、管理サーバーの設定はユーザーデータとともに保存されますが、これは安全ではないと考えているため、各サーバーに2つのインスタンスがあります：1つは管理サーバーの設定を含み、2つ目はデータです。 このスキームでは、ノードの1つに障害が発生した場合、LDAPサービスだけでなく、それを管理する機能も動作します。



ディレクトリサービスでは、2つのldap00サーバーとldap01サーバーを使用します。 それぞれに2つのLDAPサーバーインスタンスがインストールされます。1つは管理サーバーのニーズ用、もう1つはデータ用です。

インストール計画は次のとおりです。

1. ldap00に最初のサーバーをインストールします。
2. ldap00でレプリケーションを構成します。
3. ldap01にldapインスタンスをインストールして構成します。
4. ldap01に管理サーバーをインストールします。
5. ユーザーデータを保存するために、LDAPインスタンスをインストールして構成します。

ldap00に最初のサーバーをインストールする

既製のrpmは、Centos、RHEL、Fedora CoreのEPELリポジトリでコンパイルされます。 これらのシステムのいずれかがある場合は、EPELリポジトリに接続し、yumを介してインストールを完了します。



SLESを使用しているため、OpenSUSEビルドサービスでこのシステムのすべてのパッケージを収集する必要がありました。 debian / ubuntuをお持ちの場合- このドキュメントをお読みください。



389 DSに加えて、サーバーインスタンスのインストールに使用されるperlスクリプトのセットがあります。



それらのいくつかを次に示します。

• setup - ds.pl -LDAPサーバーインスタンスをインストールします。サーバーは管理サーバーに接続せずに作成されます。
• setup - ds - admin.pl-管理サーバーをインストールします。必要に応じて、LDAPサーバーインスタンスをインストールして構成を保存します。
• register -ds-admin.pl-インスタンスを管理サーバーに接続し、必要に応じて管理サーバーをインストールします。
• remove - ds.pl-インスタンスを削除します。
• remove - ds - admin.pl-管理サーバーとすべてのインスタンスを削除します。
• dsktune-パフォーマンスを向上させるために変更する必要があるシステムパラメータを表示します。

まず、dsktuneを実行します。

ldap00：〜＃dsktune

389 Directory Serverシステムチューニング分析バージョン10-AUGUST-2007。



注意：システムはx86_64-unknown-linux2.6.27.42-0.1-xen（1プロセッサー）です。



注意：net.ipv4.tcp_keepalive_timeは7200000ミリ秒に設定されています

（120分）。 これにより、一時的なサーバーの輻輳が失われる可能性があります

クライアント接続。



警告：使用可能なファイル記述子（ハード制限）は1024のみです。

同時接続の数を制限します。



警告：利用できるファイル記述子は1024（ソフト制限）のみです。

同時接続の数を制限します。

ユーティリティは、強化する必要があるシステムパラメータについて記述しました。 私の場合、これはnet.ipv4.tcp_keepalive_timeであり、開いているファイルの制限です。



tcp_keepalive_timeは、最後に送信されたパケットから最初のキープアライブが送信されるまでの時間です。 値が大きい場合、クライアントが「死んでいる」場合、接続は長時間（デフォルトでは120分）開いたままになります。 この値を10分に設定します。



echo 600 > /proc/sys/net/ipv4/tcp_keepalive_time







/etc/sysctl.confに追加します。



net.ipv4.tcp_keepalive_time = 600







開いているファイルの制限を増やすには、/ etc / security / limits.confに追加します。



* - nofile 8192







dsktuneを再度実行して、すべてのインストールの準備が整っていることを確認してください。



次に、 setup-ds-admin.plスクリプトを実行します

ライセンスに同意したら、389 Directory and Administration Serverをインストールするかどうかを尋ねられ、dsktuneを再度実行します。最後に、インストールの種類を選択するためのメニューが表示されます。

セットアップタイプを選択します。



1.エクスプレス

を使用してサーバーを迅速にセットアップできます

共通オプションと事前定義されたデフォルト。 迅速に役立つ

製品の評価。



2.典型的な

一般的なデフォルトとオプションを指定できます。



3.カスタム

より詳細なオプションを指定できます。 これは

経験豊富なサーバー管理者のみに推奨。



括弧内に示されているデフォルトを受け入れるには、Enterキーを押します。



セットアップタイプを選択[2]：

3番目の項目を選択します（経験豊富なサーバー管理者=）



次に、LDAPサーバーを起動するFQDNと名前/グループを指定するよう求められます。

構成ディレクトリサーバーがまだない場合は、「いいえ」を入力して

1つ設定するように求められます。



このソフトウェアを既存のソフトウェアに登録しますか

設定ディレクトリサーバー？ [いいえ]：

ここでは、既存のディレクトリサーバーを使用してサーバーに関する情報を保存するかどうかを尋ねられます。 これが最初のサーバーであるため、 いいえと答えます。



管理サーバーに関する質問は次のとおりです。管理者ID、パスワード、管理ドメイン、デフォルトでは回答を残します（パスワードを除く）。



次に、LDAPサーバーがリッスンするポートを指定する必要があります。 これは管理サーバーの構成のみを保存するインスタンスであることに同意しました。そのため、ポート6389に転送します。次に、ディレクトリサーバー識別子を指定します。 インスタンスにconfig-instanceという名前を付けましょう。 デフォルトでは、ルートツリーのサフィックスに関する質問に回答します。このインスタンスにはルートツリーがないため、後で削除できます。



次に、Directory Manager DNについて質問があります。



Directory Managerは、LDAPサーバーのルートユーザーです。 各インスタンスには、独自のローカルDirectory Managerがあります。



以下は、Directory Managerのパスワードに関する質問です。サンプルエントリをルートサフィックスに追加し、新しいインスタンスにデータを入力し、管理サーバーが機能するポート名、IPアドレス、ユーザー名を尋ねますか。 この後、最後に確認を求めてインストールを開始します。

ldap00でレプリケーションを構成する

サーバーに接続するには、389コンソール管理コンソールをインストールして実行する必要があります。







管理URLとして、インストール中に指定した管理サーバーのアドレスとポートを入力する必要があります。



次に、サーバーコントロールパネルを開きます。 これでインスタンスは1つだけになりました。選択します。







管理コンソールから、サフィックスdc = edu、dc = scalaxy、dc = localを削除します







残っているサフィックスは1つだけで、データベースには管理サーバーの構成データがあります。



複製の原理について少し説明します。



サプライヤとコンシューマの2種類のサーバーがレプリケーションに参加します。



サプライヤ -レプリカを別のサーバーにコピーするサーバー。



サーバーサプライヤーの責任：

• 顧客の読み書き要求に応えます。
• レプリカ変更ステータス情報の維持
• コンシューマサーバーへのレプリケーションの初期化。

記録はこのサーバーでのみ行われ、その後他の北部に複製されるため、サプライヤーサーバーは常に利用可能である必要があります。



サプライヤサーバーとの通信が失われると、ディレクトリへの書き込みができなくなります。



コンシューマは、別のサーバーからレプリカを保存するサーバーです。 マルチマスターレプリケーションの場合、2つのサーバーがサプライヤとコンシューマの両方になります。



消費者は：

• クライアントからの読み取り要求に答えます。
• データ更新のリクエストをサーバーに転送します。
• レコードを追加、削除、または更新する要求を受信すると、要求はサプライヤサーバーに転送されます。

各サプライヤサーバーには独自の変更ログがあり、レプリカで発生したすべての変更に関する情報が保存されます。



サプライヤサーバーは、各コンシューマサーバーでこれらの変更を繰り返します。



理論的に少し知識が豊富になったので、構成を使用してマルチマスターインスタンスのレプリケーションを構成できます。



変更ログ管理はデフォルトで無効になっており、[レプリケーション]タブで有効になっています。 変更ログは、すべてのデータベースに対して同時にオンになります。



次に、NetscapeRootデータベースのレプリケーションを有効にします。 レプリカIDとサプライヤーDNを指定する必要があります。



サプライヤDNは、LDAPサーバーでの複製を許可されているユーザーの名前です。 このようなユーザーは、レプリケーションマルチマスターに参加するすべてのLDAPサーバーで作成する必要があります。



これを行う最も速い方法は、ldapmodifyユーティリティを使用することです。 このユーティリティを使用すると、LDAPのデータを対話形式で変更したり、ldifファイルからコマンドを取得したりできます。



ldapmodify -h 127.0.0.1 -p 6389 -x -D "cn=root" -W

Enter LDAP Password:

dn: cn=replication manager,cn=config

changetype: add

objectClass: inetorgperson

objectClass: person

objectClass: top

objectClass: organizationalPerson

cn: replication manager

sn: RM

userPassword: <password>

passwordExpirationTime: 20380119031407Z









答えは

adding new entry "cn=replication manager,cn=config"







合計、我々は得た：







2番目のサーバーのレプリケーションアグリーメントをすぐに作成します。 NetscapeRootベースのコンテキストメニューで、[新しい複製合意]を選択し、同じ方法で入力します。







サーバーに接続できないことを警告します（まだ接続していないため）。最後のポイントに到達し、「 コンシューマーを初期化しない 」を設定します 。

ldap01にldapインスタンスをインストールして構成します

次に、2番目のLDAPサーバーを構成する必要があります。 彼とは少し違う、なぜなら 管理サーバーのインストールは、インストール済みのLDAPサーバーで既に行われているはずです。ldapmodifyユーティリティを使用してコンソールから初期構成を実行します（このディレクトリサーバーの動作を把握することがタスクの場合はプラスです）。



最初に、 setup-ds.plスクリプトを使用する2番目のサーバーで、管理サーバーによって制御されないインスタンスを作成する必要があります。



スクリプトの質問に対する回答は、前の質問と同様です。



LDAPサーバーをインストールした後、 ldapmodifyを介して接続し、構成します。



接続はおよそ次のとおりです。



ldapmodify -h 127.0.0.1 -p 6389 -D "cn=root" -W







1） changelogをオンにします。



dn: cn=changelog5,cn=config

changetype: add

objectclass: top

objectclass: extensibleObject

cn: changelog5

nsslapd-changelogdir: /var/lib/dirsrv/slapd-ldap01/changelogdb







changelogdirは、インスタンスの名前を持つディレクトリを指す必要があります。



2）ユーザー複製マネージャーを追加します：



dn: cn=replication manager,cn=config

changetype: add

objectClass: inetorgperson

objectClass: person

objectClass: top

objectClass: organizationalPerson

cn: replication manager

sn: RM

userPassword: <passowrd>

passwordExpirationTime: 20380119031407Z







20380119031407Zは、パスワードの有効期限が切れていないことを意味します。



3） netscaperootサフィックスを作成します 。



dn: cn="o=netscaperoot",cn=mapping tree,cn=config

changetype: add

objectclass: top

objectclass: extensibleObject

objectclass: nsMappingTree

nsslapd-state: backend

nsslapd-backend: NetscapeRoot

cn: "o=netscaperoot"







4） netscaperootサフィックスのベースを作成します。



dn: cn=NetscapeRoot,cn=ldbm database,cn=plugins,cn=config

changetype: add

objectclass: extensibleObject

objectclass: nsBackendInstance

nsslapd-suffix: o=netscaperoot







ところで、389 DSはデフォルトでBerkeley DB非リレーショナルデータベースの修正バージョンを使用してディレクトリエントリを保存します。 ご希望の場合は、 こちらをご覧ください 。



5）ルートを作成しますo = NetScapeRoot ：



dn: o=NetscapeRoot

changetype: add

objectClass: organization

objectClass: top

o: NetscapeRoot







6）o = netscaperootの複製を許可します。



dn: cn=replica,cn="o=netscaperoot", cn=mapping tree, cn=config

changetype: add

objectClass: nsDS5Replica

objectClass: top

nsDS5ReplicaId: 2

nsDS5ReplicaRoot: o=netscaperoot

cn: replica

nsDS5Flags: 1

nsDS5ReplicaBindDN: cn=replication manager,cn=config

nsds5ReplicaChangeCount: 0

nsds5ReplicaPurgeDelay: 604800

nsDS5ReplicaType: 3







nsDS5ReplicaIdをサーバー番号（ nsDS5ReplicaType-レプリケーションタイプ、3-マルチマスター）に変更することを忘れないでください。



この時点で、すでにldap00からldap01への片方向レプリケーションが構成されています。



最後のステップは次のとおりです。



7）ldap01からldap00へのレプリケーションを構成します。



dn: cn=Multimaster replication, cn=replica, cn="o=netscaperoot", cn=mapping

tree, cn=config

changetype: add

objectClass: top

objectClass: nsDS5ReplicationAgreement

cn: Multimaster replication

description: replication for netscaperoot

nsDS5ReplicaBindDN: cn=replication manager,cn=config

nsDS5ReplicaBindMethod: SIMPLE

nsds5replicaChangesSentSinceStartup:

nsDS5ReplicaCredentials: <password>

nsDS5ReplicaHost: ldap00.edu.scalaxy.local

nsDS5ReplicaPort: 6389

nsDS5ReplicaRoot: o=netscaperoot

nsDS5ReplicaTransportInfo: LDAP

nsds5replicaUpdateInProgress: FALSE







nsDS5ReplicaBindDN-レプリケーションが実行されるユーザーの名前

nsDS5ReplicaCredentials-パスワード



8）ldap00からldap01への初期レプリケーション開始：



最初のサーバーで、 次のコマンドを実行します。

dn: cn=Multimaster replication,cn=replica,cn="o=netscaperoot",cn=mapping tree,cn=config

changetype: modify

replace: nsds5beginreplicarefresh

nsds5beginreplicarefresh: start







このコマンドは、ldap00からldap01にデータを複製します。2番目のサーバーではo = netscaperootが空であるため、この操作が必要です。



これで、管理サーバー構成でディレクトリを完全に複製できました。

ldap01に管理サーバーをインストールする

2番目のサーバーで管理サーバーを上げる必要があります。 register-ds-admin.pl



スクリプトを実行します



構成ディレクトリサーバーURLを指定するように求められたら、2番目のサーバーldapの LDAP URLを入力します。//ldap01.edu.scalaxy.local：6389 / o = NetscapeRoot



それ以上の設定は簡単です。スクリプトの指示に従ってください。

ユーザーデータを保存するためのLDAPインスタンスのインストールと構成

これで、管理コンソールを介して任意の管理サーバーに接続できます。



サーバーグループの各サーバーで、新しいLDAPサーバーインスタンスを作成します。これは、データを保存するLDAPサーバーになります。







同じ原則に従って2つのインスタンス間のマルチマスターレプリケーションを構成します（GUIとコンソールの両方でレプリケーションを構成できるようになりました）。



おめでとうございます！ フェールセーフディレクトリサービスを設定しました！ 次に、サービスのダウンタイムをなくすために、openais + pacemakerを構成する必要があります。



使用されたドキュメント：

directory.fedoraproject.org/wiki/Documentation

www.redhat.com/docs/manuals/dir-server