ldap - satou

2018/02/08 (Thu) 05:40:22

エントリの複製方法として大きく分けて以下の2種類がある。「操作ログによる対象の属性のみを複製する方式」、「エントリ全体を複製する方式」
「操作ログを送る方式」では自身のマスターサーバーで実行した追加処理のログを他のサーバーに送信し、他のサーバーではそのログ情報に基づいて対象エントリの更新を行う
「エントリ全体を複製する方式」例えば仮にグループXという所にユーザーAを追加した場合、他のサーバーにはユーザーAだけが入ったグループXのエントリ全体の情報が送信される。上記仕様より、同じタイミングで同じグループにユーザー追加の依頼(ユーザーBとする)がユーザーAを登録するサーバーで以外であった場合、双方のサーバーでグループXのエントリの情報が更新されることによってユーザーAもしくはユーザーBの情報が喪失する可能性がある
OpenLDAPで一般的に利用される「syncrepl」は「エントリ全体を複製する方式」である。「操作ログを送る方式」は「Delta-syncrepl」と呼ばれ、マスター・スレーブ方式での利用が想定されている
OpenLDAPサーバー、クライアントのインストール及び初期設定
まずはOpenLDAPサーバーとクライアントのインストール、LDAPサーバーの起動を行います。

# インストール
$sudo yum install openldap-clients openldap-servers

# バージョン確認
$slapd -V
@(#) $OpenLDAP: slapd 2.4.40 (Mar 8 2016 23:38:46) $
mockbuild@gobi-build-60006.pdx1.amazon.com:/builddir/build/BUILD/openldap-2.4.40/openldap-2.4.40/build-servers/servers/slapd

# 起動
$sudo service slapd start
Starting slapd: [ OK ]

Open - satou

2018/02/07 (Wed) 22:41:46

複製のプロトコルは定義されておらず、製品ごとに違うため、複数台構成を行う場合、同じ製品を使う必要がある
エントリの追加・更新が可能なLDAPサーバーをマスターもしくはプロバイダーと呼び、エントリの参照のみが可能なLDAPサーバーをスレーブもしくはコンシューマと呼ぶ
一般的なLDAP製品では複数台のマスターで構成されるマルチスター構成が可能で、用途によっては上記に加え、認証や参照専用のスレープサーバーを加える構成も可能
マルチスター構成でLDAPマスターサーバーが複数の場合に同じエントリに対して連続の書き込みがそれぞれ別のマスターサーバーによって実行されるとエントリの内容が意図した通りにならない場合がある（後述）上記より、ロードバランサによって同じエントリの更新は同じマスターサーバーに通信するなどの工夫が必要
エントリの複製方法として大きく分けて以下の2種類がある。「操作ログによる対象の属性のみを複製する方式」、「エントリ全体を複製する方式」
「操作ログを送る方式」では自身のマスターサーバーで実行した追加処理のログを他のサーバーに送信し、他のサーバーではそのログ情報に基づいて対象エントリの更新を行う
「エントリ全体を複製する方式」例えば仮にグループXという所にユーザーAを追加した場合、他のサーバーにはユーザーAだけが入ったグループXのエントリ全体の情報が送信される。上記仕様より、同じタイミングで同じグループにユーザー追加の依頼(ユーザーBとする)がユーザーAを登録するサーバーで以外であった場合、双方のサーバーでグループXのエントリの情報が更新されることによってユーザーAもしくはユーザーBの情報が喪失する可能性がある

openLDAP - suzuki

2018/02/07 (Wed) 22:39:13

Lightweight Directory Access Protocolの略語で、OSI参照モデルではHTTPなどと同じアプリケーション層のプロトコル。検索(search)、追加(add)、削除(delete)、変更(modify)といった機能を利用して登録した情報にアクセスできるプロトコルを提供。

OpenLDAPの構築 - satou

2018/02/07 (Wed) 22:37:36

Windowsログオンなどで使ったことはあるLDAPですが、詳細や構築などはやったことがなかったので、本を見ながら勉強してみたのでメモ。
参考にさせてもらった本の内容を途中までやった時の作業メモとなります。