10-openldap同步原理

openldap同步原理

閱讀視圖

1. openldap同步原理
2. syncrepl、slurpd同步機制優缺點
3. OpenLDAP同步條件
4. OpenLDAP同步參數

1. openldap同步原理

OpenLDAP同步復制(簡稱syncrepl)機制是消費方的一個復制引擎，能讓消費者服務器維護一個抽取片段的影子副本。

2. syncrepl、slurpd同步機制優缺點

3. OpenLDAP同步條件

OpenLDAP的5種同步模式需要滿足以下6點要求。

1. OpenLDAP服務器之間需要保持時間同步

    ```shell
    配置時間同步

    ```
2. OpenLDAP軟件包保持版本一致

    ```shell
    配置版本一致
    ```

3. OpenLDAP節點之間域名可以相互解析

    ```shell
    配置hosts
    ```

4. 配置OpenLDAP同步復制，需要提供完全一樣的配置及目錄樹信息。
5. 數據條目保持一致
6. 額外的schema文件保持一致

4. OpenLDAP同步參數

1. OpenLDAP主服務器參數的含義如下：

   # 后端工作在overlay模式
   overlay syncprov
   
   # 設置同步條件
   syncprov-checkpoint 100 10     # 當滿足修改100條目或者10分鍾的條件時主動以推的方式進行
   
   # 會話日志條目的最大數量
   syncprov-sessionlog 100
   
   # 設置同步更新時間
   interval=01:00:00:00
   (interval格式day:hour:minitus:second)
   
   # 匹配根域所有條目
   scope=sub
   base只給所給的DN相匹配, one只與父條目是所給DN的條目相匹配, sub只與根為所給DN的子樹下所有條目相匹配, 所以我們在master-1中通過phpldapadmin進行備份時, 選擇的是sub.
   
   # 同步屬性信息
   attrs="*,+"    # 同步所有屬性信息
   attrs="cn,sn,ou,telephoneNumber,title,l"   # 同步指定屬性信息
   
   # 同步更新時是否開啟schema語法監測
   schemachecking=off
   

2. OpenLDAP從服務器參數的含義如下：

   serverID 1   # 節點ID必須在整個OpenLDAP集群中是唯一的, serverID與MySQL復制中的server-id是同等的概念
   overlay syncprov
   syncrepl rid=001
       provider=ldap://192.168.218.206:389     # 另外一台主OpenLDAP服務器IP地址及端口
       type=refreshAndPersist        # 設置類型為持續保持同步
       searchbase="dc=gdy,dc=com"    # 從另一台openldap服務器域同步條目
       schemachecking=on             # 開啟schema語法監測功能
       bindmethod=simple             # 同步驗證模式為簡單模式(即明文), 或修改為密文
       binddn="cn=Manager,dc=gdy,dc=com"     # 使用Manager用戶讀取目錄樹信息
       credentials=redhat            # 用戶密碼(cn=Manager)
       retry="60 +"                  # 嘗試時間, 切記60與+號之間有空格
   

5. OpenLDAP的5種同步模式

1. syncrepl模式

   syncrepl模式是指從(slave)服務器到主(master)服務器以拉的模式同步目錄樹。當主服務器對某個條目或更多條目修改條目屬性時, 從服務器會把修改的整個條目進行同步, 而不是單獨地同步修改的屬性值。

2. N-Way Multi-Master模式

   N-Way Multi-Master主要用於多台主服務器之間進行LDAP目錄樹信息的同步, 更好的提供了服務器的冗余性。

3. MirrorMode模式

   MirrorMode屬於鏡像同步模式, 而且主服務器互相以推的方式實現目錄樹條目同步, 最多只允許且兩台機器為主服務器。如果要添加更多的節點, 此時只能增加多台從服務器, 而不能將添加的節點配置為主服務器。

   當一台服務器出現故障時, 另一台服務器立即對外提供驗證服務。當異常服務器恢復正常時, 會自動通過另一個節點所添加或修改的條目信息進行同步, 並應用在本地。

4. syncrepl Proxy模式

   syncrepl Proxy同步模式屬於代理同步, 它將主服務器隱藏起來, 而代理主機上邊通過syncrepl從主服務器上以拉的方式同步目錄樹數據, 當代理主機數據發生改變時, 代理服務器又以推的方式將數據更新到下屬的從LDAP服務器上, 且從LDAP服務器只有對代理LDAP服務器有讀權限。

5. Delta-syncrepl模式

   在Delta-syncrepl同步模式下, 當主服務器對目錄樹上的相關條目進行修改時, 會產生一條日志信息, 於是這時候, 從服務器會通過復制協議, 將主服務器記錄的日志應用到從服務器本地, 完成數據同步的過程。但每個消費者獲取和處理完全改變的對象, 都執行同步操作。