Сетевая аутентификация
доступны в журналах. Ведение журналов, как и другие настройки slapd, подключаются через базу данных slapd-config.
OpenLDAP поставляется с несколькими подсистемами (уровнями) журналирования, каждая из которых включает подчиненную (дополнительную). Хороший вариант, который стоит попробовать — это stats. Страница slapd-config3 содержит больше информации по иным подсистемам.
Создайте файл logging.ldif со следующим содержимым:
dn: cn=config changetype: modify add: olcLogLevel olcLogLevel: stats
Производим изменения:
sudo ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f logging.ldif
Это породит значительный объем записи в журнал и вы захотите уменьшить уровень детализации когда ваша система станет боевой. С таким уровнем детализации система журналирования вашего хоста (rsyslog) может отнимать значительное время процессора, а также пропускать сообщения:
rsyslogd-2177: imuxsock lost 228 messages from pid 2547 due to rate-limiting
Вы можете решить изменить настройки rsyslog. В файл /etc/rsyslog.conf поместите следующее:
#Disable rate limiting
#(default is 200 messages in 5 seconds; below we make the 5 become 0) $SystemLogRateLimitInterval 0
А затем перезапустите демон rsyslog:
sudo service rsyslog restart
1.6. Репликация
Сервис LDAP становится всё более и более важным, поскольку большинство сетевых систем начинают зависеть от него. В этом контексте стандартной
3 http://manpages.ubuntu.com/manpages/en/man5/slapd-config.5.html
116
Сетевая аутентификация
практикой является встраивание избыточности (высокой доступности) в LDAP для защиты от опустошения, которое сделает сервер неработающим. Это достигается с помощью репликации LDAP.
Репликация доступна через механизм Syncrepl. Он позволят синхронизировать изменения используя модель Потребитель - Поставщик. Специфический вид репликации, который мы будем реализовывать в этом руководстве, является комбинацией следующих режимов: refreshAndPersist и delta-syncrepl. Это подразумевает что Потребитель передает измененные записи Поставщику, как только они появляются, но при этом посылаются только актуальные изменения, а не все записи.
1.6.1. Настройка Поставщика
Начнем с настройки Поставщика.
1.Создайте файл LDIF со следующим содержимым и назовите его
provider_sync.ldif:
# Add indexes to the frontend db. dn: olcDatabase={1}hdb,cn=config changetype: modify
add: olcDbIndex olcDbIndex: entryCSN eq
-
add: olcDbIndex olcDbIndex: entryUUID eq
#Load the syncprov and accesslog modules. dn: cn=module{0},cn=config
changetype: modify add: olcModuleLoad olcModuleLoad: syncprov
-
add: olcModuleLoad olcModuleLoad: accesslog
#Accesslog database definitions dn: olcDatabase={2}hdb,cn=config objectClass: olcDatabaseConfig objectClass: olcHdbConfig olcDatabase: {2}hdb
olcDbDirectory: /var/lib/ldap/accesslog olcSuffix: cn=accesslog
olcRootDN: cn=admin,dc=example,dc=com olcDbIndex: default eq
olcDbIndex: entryCSN,objectClass,reqEnd,reqResult,reqStart
#Accesslog db syncprov.
117
Сетевая аутентификация
dn: olcOverlay=syncprov,olcDatabase={2}hdb,cn=config changetype: add
objectClass: olcOverlayConfig objectClass: olcSyncProvConfig olcOverlay: syncprov olcSpNoPresent: TRUE olcSpReloadHint: TRUE
# syncrepl Provider for primary db
dn: olcOverlay=syncprov,olcDatabase={1}hdb,cn=config changetype: add
objectClass: olcOverlayConfig objectClass: olcSyncProvConfig olcOverlay: syncprov olcSpNoPresent: TRUE
# accesslog overlay definitions for primary db
dn: olcOverlay=accesslog,olcDatabase={1}hdb,cn=config objectClass: olcOverlayConfig
objectClass: olcAccessLogConfig olcOverlay: accesslog olcAccessLogDB: cn=accesslog olcAccessLogOps: writes olcAccessLogSuccess: TRUE
# scan the accesslog DB every day, and purge entries older than 7 days olcAccessLogPurge: 07+00:00 01+00:00
Замените rootDN в LDIF файле на соответствующий вашему каталогу.
2.Профиль apparmor для slapd нужно будет отрегулировать для расположения базы accesslog. Отредактируйте /etc/apparmor.d/local/ usr.sbin.slapd, добавив следующее:
/var/lib/ldap/accesslog/ r, /var/lib/ldap/accesslog/** rwk,
Создаём каталог, устанавливаем файл настроек базы данных и перезагружаем профиль apparmor:
sudo -u openldap mkdir /var/lib/ldap/accesslog
sudo -u openldap cp /var/lib/ldap/DB_CONFIG /var/lib/ldap/accesslog sudo service apparmor reload
3.Добавляем новый контент и, поскольку изменили apparmor, перезапускаем сервис:
sudo ldapadd -Q -Y EXTERNAL -H ldapi:/// -f provider_sync.ldif sudo service slapd restart
Теперь поставщик настроен.
118
Сетевая аутентификация
1.6.2. Настройка Потребителя А теперь настроим Потребителя.
1.Установим программное обеспечение как указано в Раздел 1.1, «Установка» [108]. Убедитесь, что база slapd-config аналогична базе Поставщика. Особенно проверьте, что одинаковы схемы и суффикс базы.
2.Создайте файл LDIF со следующим содержимым и назовите его
consumer_sync.ldif:
dn: cn=module{0},cn=config changetype: modify
add: olcModuleLoad olcModuleLoad: syncprov
dn: olcDatabase={1}hdb,cn=config changetype: modify
add: olcDbIndex olcDbIndex: entryUUID eq
-
add: olcSyncRepl
olcSyncRepl: rid=0 provider=ldap://ldap01.example.com bindmethod=simple binddn="cn=admin,dc=exa credentials=secret searchbase="dc=example,dc=com" logbase="cn=accesslog" logfilter="(&(objectClass=auditWriteObject)(reqResult=0))" schemachecking=on type=refreshAndPersist retry="60 +" syncdata=accesslog
-
add: olcUpdateRef
olcUpdateRef: ldap://ldap01.example.com
Убедитесь, что следующие атрибуты имеют правильные значения:
•provider (hostname сервера Поставщика — в этом примере — или IPадрес)
•binddn (DN администратора, которым вы пользуетесь)
•credentials (пароль для DN администратора, который вы используете)
•searchbase (суффикс базы, которую вы используете)
•olcUpdateRef (hostname сервера Поставщика или его IP адрес)
•rid (Replica ID, уникальное трёхзначное число, идентифицирующее данную копию. Каждый Потребитель должен иметь минимум один rid)
3.Добавьте новое содержимое:
sudo ldapadd -Q -Y EXTERNAL -H ldapi:/// -f consumer_sync.ldif
Вы сделали это! Две базы (суффикс: dc=example,dc=com) будут теперь синхронизированы.
119