将 LDAP 从站添加到 N 路多主系统

将 LDAP 从站添加到 N 路多主系统

我有 2 台 Ubuntu 22.04 LTS 服务器,在 N 路多主模式下运行 Openldap 2.5。它效果很好,已经使用了好几年了。现在我想向这个系统添加一个从站。两个多主节点不使用 TLS,并且都使用 cn=admin,dc=some,dc=domain,dc=com 帐户进行绑定/同步。这并不理想,因为 LDAP 管理员密码整天以纯文本形式来回传递,但计算机在自己的专用 VLAN 上同步。

然而,对于新的从站,我想使用 TLS/SSL。

我设置了一个 CA,生成了一些证书并将它们安装在其中一个主服务器和我的从服务器上。现在两者都可以处理 STARTTLS 请求。到目前为止,一切都很好。

我在主服务器上创建了一个用户“replicator”,并为该用户分配了一个密码。我指定复制器帐户是在从属设备上绑定同步传输的帐户。

我需要在 master 上添加 acl 规则,以便“replicator”具有对用户数据库的读取访问权限。所以,我补充一下:

olcAccess: {0}to * by dn.exact "cn=replicator,dc=some,dc=domain,dc=com" read by * break

到主数据库上的主数据库“dn: olcDatabase={1}mdb,cn=config”和访问日志数据库“dn: olcDatabase={2}mdb,cn=config”。添加后,两个数据库的 acl 看起来都是正确的,只是首先评估一条新规则(规则 {0})。

现在,事情变得奇怪了。一旦这些规则到位,我的(单个)主设备和新的从设备开始同步并快速显示相同的 contextCSN 值。然而,此时我的两个主人不再同步了。我需要删除这些“复制器”用户规则并在主服务器上重新启动 slapd 以重新建立与其他主服务器的同步。除了添加单个 ACL 条目以用于对其中一个主设备上的 2 个数据库进行复制器读取访问之外,我没有对任何一个主设备进行任何更改。

关于正在发生的事情或我可以在哪里寻找更多信息有什么建议吗?这是一个生产环境,因此使任一主设备脱机的窗口有限。

任何建议表示赞赏。

相关内容