wiki:help/scc/settings/ldap

Version 21 (modified by Edwin Eefting, 13 years ago) (diff)

--

LDAP gebruikers database

De servers uit de Syn-3 productlijn werken samen door middel van een zogenaamd LDAP backend. Door gebruik te maken van LDAP worden gebruikers gegevens gecentraliseerd. Als u een gebruiker aanmaakt, zal deze gebruiker direct toegang krijgen op alle systemen.

Zo krijgt de gebruiker in het geval van het voorbeeld een email adres, home directory, inlog mogelijkheid op de file server en internet toegang.

Als de master uitvalt, vallen de systemen terug op de slave server. Er kunnen wijzigingen gemaakt worden in zowel de master en de slave. (Voor Syn-3 versie 4.2 was de slave nog readonly)

Mogelijke instellingen

Hieronder ziet u een praktijk voorbeeld:

Mogelijke instellingen die u kunt doen:

  • Dit is de enige server -- Deze instelling gebruik u als u slechts 1 Syn-3 server heeft.
  • Deze server is slave en Deze server is master gebruik dit voor maximale bedrijf zekerheid bij 2 of meer Syn-3 servers. (Zie volgende paragraaf)
  • Andere servers zijn reeds master en slave -- Gebruik dit voor de overige servers in uw netwerk. (Zoals de file server in het voorbeeld)

Alvorens u een master/slave opstelling kunt maken dient u de firewall op beide machines te wijzigen: De machines moeten gebruik kunnen maken van elkaars LDAP database. Alle andere servers die LDAP nodig hebben dient u ook toegang te geven.

LDAP master + slave opzetten

Hiervoor ben u Syn-3 versie 4.2 of hoger nodig:

  1. Stel master in op 'stand alone' (dit is de standaard instelling bij normale Syn-3 servers)
  2. Stel slave om als 'slave server'
  3. Stel daarna pas de master in als 'master server'

Nu word de gebruikers database tussen de beide machines gesyncroniseerd. In geval van een storing op de master LDAP server, zal de slave server gebruikt worden als voor gebruikers authenticatie.

Replicatie controleren

Geadvanceerde gebruikers kunnen eventueel handmatig controleren of de LDAP servers correct gerepliceerd zijn:

[Syn-3] root@server ~# diff <(ldapsearch -h ldap-master|sort) <(ldapsearch -h ldap-slave|sort)

Geen output betekend dat er geen verschil in de servers zit. In dit geval werkt de replicatie naar behoren.

Bij problemen kun in in /var/log/debug kijken. Zit u meldingen over syncrepl, dan is er iets mis met uw replicatie:

[Syn-3] root@server ~# tail -f /var/log/debug
Sep 21 12:17:31 server slapd[10299]: @(#) $OpenLDAP: slapd 2.4.16 (Oct 13 2009 16:20:01) $ ^I@syn-3:/tmp/build/openldap-2.4.16/servers/slapd 
Sep 21 12:17:31 server slapd[10299]: daemon: IPv6 socket() failed errno=97 (Address family not supported by protocol) 
Sep 21 12:17:31 server slapd[10299]: slapd starting 
Sep 21 12:17:31 server slapd[10299]: slap_client_connect: URI=ldap://ldap-slave DN="cn=manager,dc=syn-3" ldap_sasl_bind_s failed (49) 
Sep 21 12:17:31 server slapd[10299]: do_syncrepl: rid=001 rc 49 retrying 

Voorkeur server instellen

Standaard zullen alle server de ldap-master als voorkeur server gebruiken.

Soms is het gewenst om juist de slave als voorkeur te gebruiken. Bijvoorbeeld als ldap verkeer over een trage lijn moet, of om de load te verdelen.

In dit geval is het nodig om de volgorde van ldap-master en ldap-slave om te draaien in de volgende config files:

  • /etc/ldap.conf (soms is het handig om hier de andere server zelfs helemaal uit te halen, om het boot process te versnellen of 'hangs' tijdens boot te voorkomen)
  • /home/system/samba/smb.conf
  • /etc/zarafa/ldap.cfg

Bekende problemen

  • Vergeet niet de firewalls op beide servers open te zetten, zodat de servers elkaars LDAP kunnen gebruiken.
  • We bevelen u aan te upgraden naar SYN-3 versie 4.4.1 of later, hierin zijn enkelle LDAP issues opgelost.

Voor extra informatie zie SynUsers.

HOWTO: LDAP adressen in Thunderbird gebruiken

Je kan dan je ldap adresboek wat in OX ook zichtbaar is, gebruiken in Thunderbird. Dit zou o.a. moeten kunnen dienen voor autocomplete: je begint een naam te tikken en Thunderbird toont je de diverse mogelijkheden startend met jouw ingetikte letters.

Je kan ook simpelweg het adresboek van OX in je Thunderbird raadplegen.

Doe dit zo: http://www.syn-3.eu/smforum/index.php

De base DN is dc=syn-3, dus met streepje!

Als je het zo doet raadpleeg je alle adressen uit alle adresboeken, behalve het globale adresboek:

Basis-DN: dc=syn-3
Bind-DN:

Om alleen het globale adresboek te raadplegen:

Basis-DN: o=AddressBook,dc=syn-3
Bind-DN: uid=pietjepuk,ou=Users,dc=syn-3

Om alle adressen uit alle adresboeken + globaal te raadplegen:

Basis-DN: dc=syn-3
Bind-DN: uid=pietjepuk,ou=Users,dc=syn-3

Om alleen je eigen adresboek te raadplegen:

Basis-DN: uid=pietjepuk,ou=Users,dc=syn-3
Bind-DN:

Je kunt alleen raadplegen, niet toevoegen of wijzigen. Bij een uid wordt je uiteraard om een wachtwoord gevraagd.

Forum post: http://www.syn-3.eu/smforum/index.php?topic=305.0

Attachments (1)

Download all attachments as: .zip