OpenLDAP push replication ผ่านพร็อกซี - คู่มือการตั้งค่า syncrepl

ฉันมีประสบการณ์พื้นฐานในการโต้ตอบกับ & แก้ไขปัญหา OpenLDAP เช่นเดียวกับ 389-ds แต่ฉันไม่มีประสบการณ์มากมายในการตั้งค่าหรือกำหนดค่า เซิร์ฟเวอร์ OpenLDAP

เป้าหมายของฉันคือการตั้งค่าการจำลองแบบจากเครือข่ายหลักภายในเครือข่ายที่เชื่อถือได้ไปยัง แบบจำลองที่อยู่ในเครือข่ายที่ไม่น่าเชื่อถือ โดยไม่อนุญาตให้แบบจำลองเข้าถึงเครือข่ายหลักได้โดยตรง เนื่องจากโฟลว์ของไฟร์วอลล์และข้อกำหนดของเครือข่าย นี่เป็นเรื่องจริงแม้กระทั่งสำหรับ การเชื่อมต่อเริ่มต้น ดังนั้นการกำหนดค่า RefreshAndPersist อย่างง่ายจะไม่ทำงาน

ฉันได้อ่านแล้วว่าเป็นไปได้ที่จะตั้งค่าการจำลองแบบพุชโดยใช้พรอกซี นั่น:

• พร็อกซีได้รับการติดตั้งเป็นฐานข้อมูล "ที่ซ่อนอยู่" บนเซิร์ฟเวอร์เดียวกันกับ หลัก
• พร็อกซีตั้งค่าการจำลองแบบด้วยหลักโดยใช้ RefreshAndPersist
• จากนั้นพร็อกซีจะสามารถส่งข้อมูลออกจากแบบจำลองได้

ฉันได้อ่านและอ่านซ้ำหลายส่วนจากสิ่งนี้ เอกสาร: https://www.openldap.org/doc/admin24/replication.html ฉันได้ทำตามคำแนะนำพื้นฐานนี้เพื่อตั้งค่าหลักด้วยการจำลองแบบ ความสามารถ: https://ubuntu.com/server/docs/service-ldap-replication

สิ่งที่ฉันมีปัญหาคือการหาคำแนะนำที่มีประโยชน์ที่จะแนะนำฉันผ่าน ดำเนินการตั้งค่าและกำหนดค่าพร็อกซีตามที่ฉันได้อธิบายไว้ข้างต้น

ในการค้นคว้าและพยายามตั้งค่านี้ ฉันได้เรียนรู้วิธีโหลดและเปิดใช้งานโมดูล เปิดการบันทึก และตั้งค่าการสนับสนุน TLS

ขณะนี้ฉันมี OpenLDAP 2.4 ที่ทำงานบน Ubuntu 20.04 จากที่เก็บ Ubuntu (ติดตั้ง slapd และ ldap-utils ด้วย apt)

นี่คือโมดูลที่เปิดใช้งานอยู่ในขณะนี้:

root@davidw-ldap-provider-with-proxy:~# ตบแมว -n 0 | grep olcModuleLoad
olcModuleLoad: {0}back_mdb
olcModuleLoad: {1}pcache
olcModuleLoad: {2}back_ldap
olcModuleLoad: {3}syncprov
olcModuleLoad: {4}back_monitor
olcModuleLoad: {5}rwm

นี่คือการตั้งค่าการบันทึก:

root@davidw-ldap-provider-with-proxy:~# ldapsearch -Y ภายนอก -H ldapi:/// -b 'cn=config' -D 'cn=config' -s ฐาน -LLL -W olcLoglevel
ป้อนรหัสผ่าน LDAP: 
เริ่มการรับรองความถูกต้อง SASL/EXTERNAL แล้ว
ชื่อผู้ใช้ SASL: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
dn: cn=การกำหนดค่า
olcLogLevel: ซิงค์
olcLogLevel: สถิติ

เราสามารถเห็นได้จากผลลัพธ์ข้างต้นว่าฉันมี back_ldap (ส่วนหลังของ OpenLDAP) และ ซิงโครไนซ์ (ภาพซ้อนทับ) โหลดโมดูลแล้ว ตอนนี้กำลังลองทำตามคำแนะนำที่ https://www.pixelstech.net/article/1509263631-OpenLDAP-Proxy----slapd-conf เพื่อตั้งค่าพร็อกซี ฉันได้เพิ่มสิ่งต่อไปนี้ใน /etc/ldap/ldap.conf:

โมดูลพาธ /usr/lib/ldap
โมดูลโหลด back_bdb.la

ฐานข้อมูล ldap
อ่านอย่างเดียวใช่
โปรโตคอลรุ่น 3
rebind-เป็นผู้ใช้
ยูริ: "ldapi:///"
คำต่อท้าย "dc=ma,dc=us,dc=example,dc=com"
โอเวอร์เลย์ rwm

ฉันพยายามแปลงเป็น ldif ด้วยคำสั่งต่อไปนี้ ซึ่งทำให้เกิดข้อผิดพลาดว่า "ldap" เป็นประเภทฐานข้อมูลที่ไม่รู้จัก:

root@davidw-ldap-provider-with-proxy:~#laptest -f /etc/ldap/ldap.conf -F /etc/ldap/slapd.d/
ประเภทฐานข้อมูลที่ไม่รู้จัก (ldap)
61ccaacf /etc/ldap/ldap.conf: บรรทัดที่ 21: <database> เริ่มต้นล้มเหลว (ldap)
Slaptest: ไดเร็กทอรีการกำหนดค่าไม่ถูกต้อง!

คำถาม

1. ทำไมฉันถึงได้รับสิ่งนี้ ประเภทฐานข้อมูลที่ไม่รู้จัก ข้อความแสดงข้อผิดพลาด แม้ว่าเราจะสามารถพิสูจน์ได้ว่าแบ็กเอนด์ ldap ถูกโหลดหรือไม่
2. เมื่อฉันได้รับการตั้งค่าพร็อกซี ฉันจะค้นหาคำแนะนำที่เป็นประโยชน์เพื่อให้เป็นไปตามข้อกำหนดที่เหลือของโครงการได้จากที่ใด ฉันได้ส่งอีเมลสองสามฉบับไปยังรายชื่อผู้รับจดหมายของ openldap ที่ https://lists.openldap.org/hyperkitty/list/[email protected]/thread/UDTYKW6AEDR2ALY43V2DQZSL7AVTG5GB/เพราะฉันค่อนข้างติดขัดและไม่รู้ว่าจะก้าวต่อไปอย่างไร ชั่วขณะหนึ่ง ฉันพยายามคอมไพล์ v2.5 จากซอร์ส แต่ไม่สามารถเข้าใกล้การกำหนดค่านั้นได้เลย เพราะฉันสามารถใช้แพ็คเกจ Ubuntu ได้ ดังนั้นฉันจึงกลับมาพยายามตั้งค่าต่างๆ ด้วยแพ็คเกจมาตรฐานจาก apt.

คำตอบสำหรับคำถามแรกของฉันคือฉันทำผิดพลาดโง่ๆ ในไฟล์ ldap.conf ฉันมีสิ่งต่อไปนี้:

โมดูลพาธ /usr/lib/ldap
โมดูลโหลด back_bdb.la

ฐานข้อมูล ldap

ฉันกำลังโหลด back_bdb โมดูลและไม่ใช่ back_ldap โมดูล. ฉันจำเป็นต้องเปลี่ยน โหลดโมดูล มูลค่าถึง back_ldap.la.

ข้อผิดพลาดโง่ ๆ อาจเกิดจากการจ้องที่ไฟล์ปรับแต่งเหล่านี้นานเกินไป