LDAP フェイルオーバーLDAPサーバーの構成

この記事では、 389 Directory Server （別名Fedora Directory Server、別名Redhat Directory Server）について説明します。 LDAPがディレクトリサーバーへのアクセスに使用されたことがたまたま起こりました。 LDAPを使用したことがない場合は、Wikipediaの記事（ ここではディレクトリサービスについて、 ここではLDAPプロトコルについて）を読むことを強くお勧めします。

そのため、まず、ディレクトリサービスサーバー（以降、LDAPサーバーと呼びます）を使用する理由について簡単に説明します。 LDAPサーバーは、主にアカウントとそれに関連するすべてのストレージを集中管理するために使用されます。 LDAPサーバーは階層型データベースです。つまり、任意のデータを格納できます。

論理的な質問は次のように思われます：なぜLDAPなのか？ MySQLまたはPostgreSQLでアカウントを保存するのが難しいのはなぜですか？ 答えは明らかです-何も=）

しかし、RDBMSに比べて、ディレクトリサービスには多くの利点があります。

• これが標準です。 多くのアプリケーションは、LDAPを介した認証/承認をサポートしています。
• データは階層ツリーとして保存されます。これにより、ツリーの目的の部分を強調表示することにより、効率的な検索操作を行うことができます。
• 読み取り操作の数は、書き込み操作の数よりも数千倍多く、この点で非常に多くの利点があります。トランザクションとロールバックを使用する必要がなく、レプリケーションはRDBMSに固有の問題なく動作します。
• アプリケーションは、すべてのディレクトリサービスサーバーで同じ情報を表示する必要があります。サーバーがクライアントアプリケーションに必要な情報を保存しない場合、別のサーバーに要求したり、アプリケーションを別のサーバーにリダイレクトしたりできます。
• 上記のディレクトリサービスの機能により、このサービスは完全に水平に拡張されます。

ディレクトリサービスサーバーが389 Directory Serverになりました。 このLDAPサーバーの履歴は、Netscapeと密接に関連しています（興味がある場合は、 ここで履歴を読むことができます ）。



このLDAPサーバーの主な機能：

• マルチマスター複製。 MMレプリケーションに参加しているすべてのサーバーに同時にデータを書き込むことができ、変更ログデータベースと自動競合解決システムのおかげで、レプリケーションの競合が自動的に解決されます。 MMレプリケーションは、マスタースレーブおよびカスケードレプリケーションと組み合わせることができるため、柔軟でスケーラブルなサービスを利用できます。 部分レプリケーションもサポートされています。これは、レプリカ上にデータを存在させたくない場合に非常に役立ちます。
• 強力なACLエンジン。 ACLを使用して、誰に、いつ、どのLDAPサーバーに、どの属性とどのアクションを実行するかを指定できます。 ACLは、操作属性としてデータとともに保存されます。これが、他のデータと同様に、ACLに対して複製およびバックアップ操作が機能する理由です。
• Microsoft Active Directoryとの同期。 ユーザー、グループ、パスワードの双方向同期がサポートされています（ADから389-dsにパスワードを同期するには、各ドメインコントローラーに特別なソフトウェアを配置する必要があります）
• SSL / TLS。 単純なSSL / TLSサポートは、現時点では誰も驚かないでしょう。 389-dsは、SSL証明書に基づく認証/承認をサポートします。 ディスクへの書き込み時に属性を暗号化することもできます。 サーバーの起動時に手動でキーを入力した場合、データベースからファイルをコピーすることでデータ漏洩を防ぐことができます。
• LDAPを介したサーバー管理。 サーバーは、cn = configの属性を変更することにより構成をサポートします。ほとんどのパラメーターは、サーバーを再起動せずに適用されます。 また、サーバーで、cn = tasks、cn = configに新しいエントリを追加することにより、バックアップ/復元およびその他のタスクを開始できます。
• プラグイン すべての機能はプラグインの形式で実装されます（MMレプリケーション、ADとの同期、ACLなど）。 プラグインの作成と追加はとても簡単です。 例を含む優れたドキュメントがあります。

389 Directory Serverを確認した後、その構造を詳しく見ていきます。

389 Directory Serverの一般的な構造

389 DSはいくつかのコンポーネントで構成されています。

• ディレクトリサーバー自体。 これはns-slapdアプリケーションです。クライアントからの要求を受信して​​処理し、データベースにデータを複製、読み取り、書き込み、プラグインに制御を転送するなどのプロセスです。
• 管理サーバー ディレクトリサーバーを管理します。 サーバーは、HTTP（S）プロトコルを介して管理インターフェースを提供し、ログおよび複製ステータスを表示するためのWebインターフェースも提供します。 物理的には、これらはns-slapdを管理するためのApache +モジュールです。
• 管理コンソール 管理サーバーに接続し、便利なインターフェイスを介してディレクトリサーバーを設定できるJavaアプリケーション。 WindowsおよびLinux用のバージョンがあります。MacOSでは、LinuxマシンからXセッションを転送することで機能します。

最初は理論的部分と実用的部分を別々に書きたかったのですが、最初の部分は退屈になりすぎ、2番目の部分は乾燥しすぎることが明らかになりました。 したがって、理論の一部の直後に実用化されます。

だから挑戦。 フォールトトレラントディレクトリサービスを構成する必要があります。 これを行うには、2つのサーバーを構成し、それらの間のマルチマスターレプリケーションを構成し、移動IPアドレスを上げます（pacemaker + openais）。



サーバーの1つが使用できなくなった場合、他のサーバーがこのIPを引き継ぎ、サービスは引き続き動作します。



サーバーが復元されると、データがサーバーに複製され、IPアドレスがLDAP00に切り替えられます。または、クラスター構成に応じて、LDAP01に残ります。



同じサーバー上に、独自の設定、スキーマ、レプリケーションルールなどを持つ複数の分離されたns-slapdインスタンスが存在する場合があります。 これらのインスタンスを管理コンソールから管理できるようにするには、各サーバーに管理サーバー（以降、管理サーバー）が必要です。 管理サーバー自体には、実行時設定が保存されているため、1つのLDAPサーバーインスタンスが必要です。 デフォルトでは、管理サーバーの設定はユーザーデータとともに保存されますが、これは安全ではないと考えているため、各サーバーに2つのインスタンスがあります：1つは管理サーバーの設定を含み、2つ目はデータです。 このスキームでは、ノードの1つに障害が発生した場合、LDAPサービスだけでなく、それを管理する機能も動作します。

ディレクトリサービスでは、2つのldap00サーバーとldap01サーバーを使用します。 それぞれに2つのLDAPサーバーインスタンスがインストールされます。1つは管理サーバーのニーズ用、もう1つはデータ用です。
インストール計画は次のとおりです。

1. ldap00に最初のサーバーをインストールします。
2. ldap00でレプリケーションを構成します。
3. ldap01にldapインスタンスをインストールして構成します。
4. ldap01に管理サーバーをインストールします。
5. ユーザーデータを保存するために、LDAPインスタンスをインストールして構成します。

ldap00に最初のサーバーをインストールする

既製のrpmは、Centos、RHEL、Fedora CoreのEPELリポジトリでコンパイルされます。 これらのシステムのいずれかがある場合は、EPELリポジトリに接続し、yumを介してインストールを完了します。

SLESを使用しているため、OpenSUSEビルドサービスでこのシステムのすべてのパッケージを収集する必要がありました。 debian / ubuntuをお持ちの場合- このドキュメントをお読みください。

389 DSに加えて、サーバーインスタンスのインストールに使用されるperlスクリプトのセットがあります。

それらのいくつかを次に示します。

• setup - ds.pl -LDAPサーバーインスタンスをインストールします。サーバーは管理サーバーに接続せずに作成されます。
• setup - ds - admin.pl-管理サーバーをインストールします。必要に応じて、LDAPサーバーインスタンスをインストールして構成を保存します。
• register -ds-admin.pl-インスタンスを管理サーバーに接続し、必要に応じて管理サーバーをインストールします。
• remove - ds.pl-インスタンスを削除します。
• remove - ds - admin.pl-管理サーバーとすべてのインスタンスを削除します。
• dsktune-パフォーマンスを向上させるために変更する必要があるシステムパラメータを表示します。

まず、dsktuneを実行します。

ldap00：〜＃dsktune
389 Directory Serverシステムチューニング分析バージョン10-AUGUST-2007。

注意：システムはx86_64-unknown-linux2.6.27.42-0.1-xen（1プロセッサー）です。

注意：net.ipv4.tcp_keepalive_timeは7200000ミリ秒に設定されています
（120分）。 これにより、一時的なサーバーの輻輳が失われる可能性があります
クライアント接続。

警告：使用可能なファイル記述子（ハード制限）は1024のみです。
同時接続の数を制限します。

警告：利用できるファイル記述子は1024（ソフト制限）のみです。
同時接続の数を制限します。

ユーティリティは、強化する必要があるシステムパラメータについて記述しました。 私の場合、これはnet.ipv4.tcp_keepalive_timeであり、開いているファイルの制限です。

tcp_keepalive_timeは、最後に送信されたパケットから最初のキープアライブが送信されるまでの時間です。 値が大きい場合、クライアントが「死んでいる」場合、接続は長時間（デフォルトでは120分）開いたままになります。 この値を10分に設定します。

echo 600 > /proc/sys/net/ipv4/tcp_keepalive_time

/etc/sysctl.confに追加します。

net.ipv4.tcp_keepalive_time = 600

開いているファイルの制限を増やすには、/ etc / security / limits.confに追加します。

* - nofile 8192

dsktuneを再度実行して、すべてのインストールの準備が整っていることを確認してください。

次に、 setup-ds-admin.plスクリプトを実行します
ライセンスに同意したら、389 Directory and Administration Serverをインストールするかどうかを尋ねられ、dsktuneを再度実行します。最後に、インストールの種類を選択するためのメニューが表示されます。

セットアップタイプを選択します。

1.エクスプレス
を使用してサーバーを迅速にセットアップできます
共通オプションと事前定義されたデフォルト。 迅速に役立つ
製品の評価。

2.典型的な
一般的なデフォルトとオプションを指定できます。

3.カスタム
より詳細なオプションを指定できます。 これは
経験豊富なサーバー管理者のみに推奨。

括弧内に示されているデフォルトを受け入れるには、Enterキーを押します。

セットアップタイプを選択[2]：

3番目の項目を選択します（経験豊富なサーバー管理者=）

次に、LDAPサーバーを起動するFQDNと名前/グループを指定するよう求められます。

構成ディレクトリサーバーがまだない場合は、「いいえ」を入力して
1つ設定するように求められます。

このソフトウェアを既存のソフトウェアに登録しますか
設定ディレクトリサーバー？ [いいえ]：

ここでは、既存のディレクトリサーバーを使用してサーバーに関する情報を保存するかどうかを尋ねられます。 これが最初のサーバーであるため、 いいえと答えます。

管理サーバーに関する質問は次のとおりです。管理者ID、パスワード、管理ドメイン、デフォルトでは回答を残します（パスワードを除く）。

次に、LDAPサーバーがリッスンするポートを指定する必要があります。 これは管理サーバーの構成のみを保存するインスタンスであることに同意しました。そのため、ポート6389に転送します。次に、ディレクトリサーバー識別子を指定します。 インスタンスにconfig-instanceという名前を付けましょう。 デフォルトでは、ルートツリーのサフィックスに関する質問に回答します。このインスタンスにはルートツリーがないため、後で削除できます。

次に、Directory Manager DNについて質問があります。

Directory Managerは、LDAPサーバーのルートユーザーです。 各インスタンスには、独自のローカルDirectory Managerがあります。

以下は、Directory Managerのパスワードに関する質問です。サンプルエントリをルートサフィックスに追加し、新しいインスタンスにデータを入力し、管理サーバーが機能するポート名、IPアドレス、ユーザー名を尋ねますか。 この後、最後に確認を求めてインストールを開始します。

ldap00でレプリケーションを構成する

サーバーに接続するには、389コンソール管理コンソールをインストールして実行する必要があります。



管理URLとして、インストール中に指定した管理サーバーのアドレスとポートを入力する必要があります。

次に、サーバーコントロールパネルを開きます。 これでインスタンスは1つだけになりました。選択します。



管理コンソールから、サフィックスdc = edu、dc = scalaxy、dc = localを削除します



残っているサフィックスは1つだけで、データベースには管理サーバーの構成データがあります。

複製の原理について少し説明します。

サプライヤとコンシューマの2種類のサーバーがレプリケーションに参加します。

サプライヤ -レプリカを別のサーバーにコピーするサーバー。

サーバーサプライヤーの責任：

• 顧客の読み書き要求に応えます。
• レプリカ変更ステータス情報の維持
• コンシューマサーバーへのレプリケーションの初期化。

記録はこのサーバーでのみ行われ、その後他の北部に複製されるため、サプライヤーサーバーは常に利用可能である必要があります。

サプライヤサーバーとの通信が失われると、ディレクトリへの書き込みができなくなります。

コンシューマは、別のサーバーからレプリカを保存するサーバーです。 マルチマスターレプリケーションの場合、2つのサーバーがサプライヤとコンシューマの両方になります。

消費者は：

• クライアントからの読み取り要求に答えます。
• データ更新のリクエストをサーバーに転送します。
• レコードを追加、削除、または更新する要求を受信すると、要求はサプライヤサーバーに転送されます。

各サプライヤサーバーには独自の変更ログがあり、レプリカで発生したすべての変更に関する情報が保存されます。

サプライヤサーバーは、各コンシューマサーバーでこれらの変更を繰り返します。

理論的に少し知識が豊富になったので、構成を使用してマルチマスターインスタンスのレプリケーションを構成できます。

変更ログ管理はデフォルトで無効になっており、[レプリケーション]タブで有効になっています。 変更ログは、すべてのデータベースに対して同時にオンになります。

次に、NetscapeRootデータベースのレプリケーションを有効にします。 レプリカIDとサプライヤーDNを指定する必要があります。

サプライヤDNは、LDAPサーバーでの複製を許可されているユーザーの名前です。 このようなユーザーは、レプリケーションマルチマスターに参加するすべてのLDAPサーバーで作成する必要があります。

これを行う最も速い方法は、ldapmodifyユーティリティを使用することです。 このユーティリティを使用すると、LDAPのデータを対話形式で変更したり、ldifファイルからコマンドを取得したりできます。

ldapmodify -h 127.0.0.1 -p 6389 -x -D "cn=root" -W
Enter LDAP Password:
dn: cn=replication manager,cn=config
changetype: add
objectClass: inetorgperson
objectClass: person
objectClass: top
objectClass: organizationalPerson
cn: replication manager
sn: RM
userPassword: <password>
passwordExpirationTime: 20380119031407Z


答えは
adding new entry "cn=replication manager,cn=config"

合計、我々は得た：



2番目のサーバーのレプリケーションアグリーメントをすぐに作成します。 NetscapeRootベースのコンテキストメニューで、[新しい複製合意]を選択し、同じ方法で入力します。



サーバーに接続できないことを警告します（まだ接続していないため）。最後のポイントに到達し、「 コンシューマーを初期化しない 」を設定します 。

ldap01にldapインスタンスをインストールして構成します

次に、2番目のLDAPサーバーを構成する必要があります。 彼とは少し違う、なぜなら 管理サーバーのインストールは、インストール済みのLDAPサーバーで既に行われているはずです。ldapmodifyユーティリティを使用してコンソールから初期構成を実行します（このディレクトリサーバーの動作を把握することがタスクの場合はプラスです）。

最初に、 setup-ds.plスクリプトを使用する2番目のサーバーで、管理サーバーによって制御されないインスタンスを作成する必要があります。

スクリプトの質問に対する回答は、前の質問と同様です。

LDAPサーバーをインストールした後、 ldapmodifyを介して接続し、構成します。

接続はおよそ次のとおりです。

ldapmodify -h 127.0.0.1 -p 6389 -D "cn=root" -W

1） changelogをオンにします。

dn: cn=changelog5,cn=config
changetype: add
objectclass: top
objectclass: extensibleObject
cn: changelog5
nsslapd-changelogdir: /var/lib/dirsrv/slapd-ldap01/changelogdb

changelogdirは、インスタンスの名前を持つディレクトリを指す必要があります。

2）ユーザー複製マネージャーを追加します：

dn: cn=replication manager,cn=config
changetype: add
objectClass: inetorgperson
objectClass: person
objectClass: top
objectClass: organizationalPerson
cn: replication manager
sn: RM
userPassword: <passowrd>
passwordExpirationTime: 20380119031407Z

20380119031407Zは、パスワードの有効期限が切れていないことを意味します。

3） netscaperootサフィックスを作成します 。

dn: cn="o=netscaperoot",cn=mapping tree,cn=config
changetype: add
objectclass: top
objectclass: extensibleObject
objectclass: nsMappingTree
nsslapd-state: backend
nsslapd-backend: NetscapeRoot
cn: "o=netscaperoot"

4） netscaperootサフィックスのベースを作成します。

dn: cn=NetscapeRoot,cn=ldbm database,cn=plugins,cn=config
changetype: add
objectclass: extensibleObject
objectclass: nsBackendInstance
nsslapd-suffix: o=netscaperoot

ところで、389 DSはデフォルトでBerkeley DB非リレーショナルデータベースの修正バージョンを使用してディレクトリエントリを保存します。 ご希望の場合は、 こちらをご覧ください 。

5）ルートを作成しますo = NetScapeRoot ：

dn: o=NetscapeRoot
changetype: add
objectClass: organization
objectClass: top
o: NetscapeRoot

6）o = netscaperootの複製を許可します。

dn: cn=replica,cn="o=netscaperoot", cn=mapping tree, cn=config
changetype: add
objectClass: nsDS5Replica
objectClass: top
nsDS5ReplicaId: 2
nsDS5ReplicaRoot: o=netscaperoot
cn: replica
nsDS5Flags: 1
nsDS5ReplicaBindDN: cn=replication manager,cn=config
nsds5ReplicaChangeCount: 0
nsds5ReplicaPurgeDelay: 604800
nsDS5ReplicaType: 3

nsDS5ReplicaIdをサーバー番号（ nsDS5ReplicaType-レプリケーションタイプ、3-マルチマスター）に変更することを忘れないでください。

この時点で、すでにldap00からldap01への片方向レプリケーションが構成されています。

最後のステップは次のとおりです。

7）ldap01からldap00へのレプリケーションを構成します。

dn: cn=Multimaster replication, cn=replica, cn="o=netscaperoot", cn=mapping
tree, cn=config
changetype: add
objectClass: top
objectClass: nsDS5ReplicationAgreement
cn: Multimaster replication
description: replication for netscaperoot
nsDS5ReplicaBindDN: cn=replication manager,cn=config
nsDS5ReplicaBindMethod: SIMPLE
nsds5replicaChangesSentSinceStartup:
nsDS5ReplicaCredentials: <password>
nsDS5ReplicaHost: ldap00.edu.scalaxy.local
nsDS5ReplicaPort: 6389
nsDS5ReplicaRoot: o=netscaperoot
nsDS5ReplicaTransportInfo: LDAP
nsds5replicaUpdateInProgress: FALSE

nsDS5ReplicaBindDN-レプリケーションが実行されるユーザーの名前
nsDS5ReplicaCredentials-パスワード

8）ldap00からldap01への初期レプリケーション開始：

最初のサーバーで、 次のコマンドを実行します。
dn: cn=Multimaster replication,cn=replica,cn="o=netscaperoot",cn=mapping tree,cn=config
changetype: modify
replace: nsds5beginreplicarefresh
nsds5beginreplicarefresh: start

このコマンドは、ldap00からldap01にデータを複製します。2番目のサーバーではo = netscaperootが空であるため、この操作が必要です。

これで、管理サーバー構成でディレクトリを完全に複製できました。

ldap01に管理サーバーをインストールする

2番目のサーバーで管理サーバーを上げる必要があります。 register-ds-admin.plスクリプトを実行します

構成ディレクトリサーバーURLを指定するように求められたら、2番目のサーバーldapの LDAP URLを入力します。//ldap01.edu.scalaxy.local：6389 / o = NetscapeRoot

それ以上の設定は簡単です。スクリプトの指示に従ってください。

ユーザーデータを保存するためのLDAPインスタンスのインストールと構成

これで、管理コンソールを介して任意の管理サーバーに接続できます。

サーバーグループの各サーバーで、新しいLDAPサーバーインスタンスを作成します。これは、データを保存するLDAPサーバーになります。



同じ原則に従って2つのインスタンス間のマルチマスターレプリケーションを構成します（GUIとコンソールの両方でレプリケーションを構成できるようになりました）。

おめでとうございます！ フェールセーフディレクトリサービスを設定しました！ 次に、サービスのダウンタイムをなくすために、openais + pacemakerを構成する必要があります。

使用されたドキュメント：
directory.fedoraproject.org/wiki/Documentation
www.redhat.com/docs/manuals/dir-server