[[replica]]
Trace:
Show pageOld revisions
AdminRecent ChangesSitemap

* ancien site

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision 		Previous revision
docpublic:systemes:ldap:ldapc8reppartiel [2020/02/11 22:03]
procacci@tem-tsp.eu [rebuild script] 		docpublic:systemes:ldap:ldapc8reppartiel [2020/02/15 07:46] (current)
procacci@tem-tsp.eu [acl]
Line 1: Line 1:
 +===== replica ====
 +
 +=== ref ===
 +
 +  * https://blog.debugo.fr/openldap-replication/
 +  * https://ltb-project.org/documentation/nagios-plugins/check_ldap_syncrepl_status
 +  * https://www.vincentliefooghe.net/content/openldap-surveiller-et-contr%C3%B4ler-la-r%C3%A9plication
 +  * https://pratapsatve.wordpress.com/2017/11/11/replication-of-the-openldap-server/
 +  * https://linux.die.net/man/5/slapd.conf => syncrepl parameters
 +  * https://stackoverflow.com/questions/45161477/how-to-remove-all-records-from-ldap
 +
 ===== package ltb-project ===== ===== package ltb-project =====
  
Line 21: Line 32:
 chown -R ldap:ldap /usr/local/openldap/var/openldap-data chown -R ldap:ldap /usr/local/openldap/var/openldap-data
 systemctl start slapd systemctl start slapd
 +</code>
 +
 +===== ACL ldap master ====
 +
 +sur le master ldap il faut disposer d'un compte de replication qui a le droit en lecture sur toutes les arborecences et attributs necessaires a notre replica
 +
 +notament sur l'attribut userpassword , il faut que notre de compte de replication (ici cn=rep...) puis à la fois s'authentifier (self bind) pour lancer syncrepl , mais aussi lire l'attribut userpassword des autres utilisateurs (dans la cadre d'un replica replicant aussi cet attribut !) , donc un acces read pour ceux-ci, d'où l'usage de la directive "continue" 
 +
 +<code>
 +#JP acl
 +# continue pour que repint puisse lire dans la replication son propre pass et pas seulement faire du auth 
 +# cf https://www.vincentliefooghe.net/content/les-acl-dans-openldap
 +# finalement pas utile car pour etre self il faut d'abord etre authentifié ! 
 +access to attrs=userPassword
 +        by self                                     auth continue
 +        by anonymous                                auth
 +        by dn="cn=rep,ou=dsa,dc=int,dc=fr"          read
 +        by * none
 +        
 +#Voir le root DSE + base DN , cf http://www.openldap.org/lists/openldap-technical/201203/msg00132.html
 +access to dn.subtree="dc=int,dc=fr" attrs=entry,objectclass,contextCSN
 +        by dn="cn=rep,ou=dsa,dc=int,dc=fr"     read
 +        by *                                        read
 +...
 +      
 </code> </code>
  
Line 93: Line 129:
 # attribut userpassword, utile ici uniquement pour le compte DSA cn=rep # attribut userpassword, utile ici uniquement pour le compte DSA cn=rep
 access to attrs=userPassword access to attrs=userPassword
-        by self                                                 auth 
         by anonymous                                            auth         by anonymous                                            auth
         by dn="cn=rep,ou=dsa,dc=int,dc=fr"          read         by dn="cn=rep,ou=dsa,dc=int,dc=fr"          read
Line 129: Line 164:
  bindmethod=simple  bindmethod=simple
  retry="60 10 300 +"  retry="60 10 300 +"
 +                keepalive="240:10:30"
  binddn="cn=rep,ou=dsa,dc=int,dc=fr"  binddn="cn=rep,ou=dsa,dc=int,dc=fr"
         credentials="secretreplica"         credentials="secretreplica"
 updateref       ldaps://master.int.eu:636 updateref       ldaps://master.int.eu:636
 +</code>
 +
 +la liste des parametres syncrepl est dans le man slapd.conf
 +
 +<code>
 +    https://linux.die.net/man/5/slapd.conf
 +    
 +syncrepl rid=<replica ID> provider=ldap[s]://<hostname>[:port] searchbase=<base DN> [type=refreshOnly|refreshAndPersist] 
 +[interval=dd:hh:mm:ss] [retry=[<retry interval> <# of retries>]+] [filter=<filter str>] [scope=sub|one|base|subord] 
 +[attrs=<attr list>] [attrsonly] [sizelimit=<limit>] [timelimit=<limit>] [schemachecking=on|off] [network-timeout=<seconds>
 +[timeout=<seconds>] [bindmethod=simple|sasl] [binddn=<dn>] [saslmech=<mech>] [authcid=<identity>] [authzid=<identity>
 +[credentials=<passwd>] [realm=<realm>] [secprops=<properties>] [keepalive=<idle>:<probes>:<interval>] [starttls=yes|critical] 
 +[tls_cert=<file>] [tls_key=<file>] [tls_cacert=<file>] [tls_cacertdir=<path>] [tls_reqcert=never|allow|try|demand] 
 +[tls_ciphersuite=<ciphers>] [tls_crlcheck=none|peer|all] [logbase=<base DN>] [logfilter=<filter str>
 +[syncdata=default|accesslog|changelog] 
 </code> </code>
  
docpublic/systemes/ldap/ldapc8reppartiel.1581458618.txt.gz · Last modified: 2020/02/11 22:03 by procacci@tem-tsp.eu
Show pageOld revisions
[unknown link type]Back to top
CC Attribution-Noncommercial-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0