Syst�my pro sd�len� u�ivatel� (LDAP)

Vlastimil Krej���, xkrejci4@fi.muni.cz


Obsah


Co je to obecn�

Terminologie, architektura

Adres�� je speci�ln� datab�ze optimalizovan� pro �ten�, proch�zen� a vyhled�v�n� dat. B�n�m p��kladem takov�ho adres��e m��e b�t nap��klad katalog knih nebo telefonn� seznam. P�edpokl�d� se, �e telefonn� ��sla se nem�n� p��li� �asto a stejn� tak seznam knih v knihovn�. Obecn�ji se takov� adres�� skl�d� z jednozna�n� identifikovateln�ch polo�ek, ka�d� polo�ka se pak skl�d� z atribut� (p�i�em� u ka�d� polo�ky mus� b�t alespo� jeden atribut). Atributy jsou r�zn�ch typ� ur�uj�c�ch mo�n� hodnoty atributu. C�lem takto zaveden� architektury je usnadnit maxim�ln� rychl� a jednoduch� p��stup k informac�m.

Jak to pracuje

Pr�ce s adres��em je postavena na modelu klient-server. Klientsk� aplikace pro p��stup k adres��i po�le po�adavek na adres��ov� server, ten ho vyhodnot� a pos�l� zp�tky.


Standardy, protokoly (historick� souvislosti)

X.500

Rodina standard� definuj�c�ch adres��ov� slu�by, pr�ci s nimi, jejich chov�n� a dal��. V�e je definov�no nad referen�n�m s��ov�m modelem ISO.OSI (klasick�ch 7 vrstev, viz. p�edn�ky doc. Staudka :-)). Konkr�tn� se jedn� o dokumenty X.500 a� X.521. Definuj� nad klasickou architekturou klient-server protokol DAP (Directory access protocol). Proto�e model ISO.OSI je zbyte�n� slo�it� a v podob�, jak byl navr�en, se prakticky neimplementuje, vznikl "odleh�en�" protokol tzv. LDAP (Lightweight DAP).

LDAP

Verze 1 protokolu je definov�na v RFC 1478 a je skute�n� postavena na DAP jen s t�m rozd�lem, �e je jednodu��� - komunikace v�ak mus� st�le prob�hat s plnohodnotn�m X.500 serverem. N�sleduj�c� verze 2 a 3 se protokol se pln� osamostatnili a ji� nevy�aduj� podporu DAP podle X.500. Rozd�ly mezi verzemi 2 a 3 budou pops�ny d�le. Verze 2 je pops�na v v n�sleduj�c�ch RFC: 1777-1779, 1959, 1960. Verze 3 pak v RFC 2251-2256.

LDAP je definov�n nad TCP/IP (na rozd�l od ISO.OSI DAPu). D�le oproti DAPu vypustil n�kolik specializovan�ch operac� a n�kter� operace slou�il do jedn� a pro reprezentaci jmen pou��v� textov� �et�zce (X.500 definuje slo�it� struktury pro tot�).


LDAP protokol

Pr�b�h komunikace

Interakce mezi klientem a serverem prob�h� v n�kolika kroc�ch. Klient nav�e spojen� se serverem (binding), v t�to f�zi prob�h� autentizace. N�sledn� m��e klient prov�d�t r�zn� operace nad adres��em. Nakonec prob�hne ukon�en� spojen� (unbinding).

Atributy, typy

Protokol definuje typy atribut�, typ ur�uje jak� syntax je pro zaps�n� hodnoty pou�ita, jak se bude atribut p�i r�zn�ch operac�ch chovat a podobn�. Atributy mohou m�t pro p�ehlednost aliasy. Atribut m��e b�t bin�rn�ho typu (bin), �et�zec znak� (cis je non-case sensitive a ces je case sensitive), typ rozli�ovac� jm�no (dn) nebo t�eba typ telefonn� ��slo (tel). Toto jsou n�kter� vybran� z�kladn� typy. B�n� u��van�mi atributy jsou pak nap��klad commonName alias cn je typu cis (jm�no nap��klad zam�stnance), owner je typu dn (rozli�ovac� jm�no osoby vlastn�c� polo�ku) a dal��.

Co je to Schema

Schema je mno�ina pravidel nad adres��em - rozhoduje o po�tech, typech, v�znamem a jin�ch vlastnostech polo�ek a atribut� v adres��i. P�edev��m definuje t��dy objekt� (object classes), ur�uj�c� jak� polo�ky (objekty) mohou b�t ulo�eny v adres��i. T��da ur�uje po�et a typ atribut�, kter� se mohou v polo�ce nach�zet (kontrola prob�h� procesem zvan�m schema-checking). Ka�d� polo�ka (objekt) pak m� povinn� atribut objectClass, ur�uj�c� v jak� t��d� se polo�ka nach�z�. T��dy mohou samoz�ejm� d�dit od jin�ch t��d (objektov� model), p�i�em� je definov�na nejvy��� t��da, kter� m� jedin� atribut a t�m je pr�v� objectClass, od t�to t��dy (naz�van� top) pak mus� b�t odvozeny v�echny t��dy ostatn�. Aby byla mo�n� spolupr�ce mezi LDAP servery (ka�d� z nich m��e m�t nadefinov�no vlastn� sch�ma) existuje n�kolik standardizovan�ch schemat. Pokud klient schema adres��e nezn�, dotazuje se na speci�ln� polo�ku.

LDIF

LDIF je textov� form�t pro v�m�nu dat mezi LDAP�m adres��em a ��mkoli jin�m. Aneb jak�koli data lze p�ev�st do LDIFu a n�sledn� pomoc� standardn�ch klient� vlo�it do LDAP�ho adres��e.

Organizace polo�ek

Polo�ky jsou organizov�ny ve stromov� struktu�e zvan� Direct Information Tree (DIT). Ka�d� polo�ka je identifikov�na sv�m jednozna�n�m rozli�ovac�m jm�nem (distinguished name - DN). Rozli�ovac� jm�no se tvo�� hierarchicky podobn�m procesem jako t�eba IP adresy, jen syntaxe je jin�. Typicky <atribut1>=<hodnota1>, <atribut2>=<hodnota2>, ..., p�i�em� ka�d� dvojice atribut-hodnota se naz�v� Relative DN (RDN). Suffixem se pak naz�v� jm�no nejv��e um�st�n� polo�ky na dan�m serveru. Existuje i speci�ln� polo�ka zvan� referral, kter� m��e fungovat jako odkaz na DIT v jin�m adres��i - t�m to zp�sobem se spravuj� distribuovan� LDAP servery (mohu nap��klad odkazovat na nejvy��� polo�ku v n�jak�m vzd�len�m adres��i).

Operace na adres��em

M��eme z�sk�vat operace z adres��ov�ho stromu (operace search a compare) a m�nit polo�ky ve strom� (add, delete, modify a modify RDN). Speci�ln�mi operacemi jsou pak autentiza�n� slu�by (bind, unbind a abandon).

Operace search dovoluje prohled�vat ur�it� podstromy DIT do dan� hloubky. Jej�m v�sledkem je vr�cen� nalezen�ch dat (neexistuje n�co jako operace read, v�e je zakomponov�no do search). Lze samoz�ejm� ur�it, kter� z atribut� se maj� vracet. Vyhled�vac� v�raz (filtr) lze konstruovat pomoc� obvykl�ch booleovsk�ch oper�tor� plus n�kter�ch speci�ln�ch relac� (nap��klad ~= znamen� "p�ibli�n� stejn� hodnota"). Operace compare je naproti tomu jednodu���, pouze porovn� zadanou hodnotu s hodnotou n�jak�ho atributu. Ostatn� v��e uveden� operace maj� obvyklou s�mantiku.

Protokol nen� omezen na jmenovan� operace. Lze vytv��et nov� operace, pop�. m�nit ty st�vaj�c� (seznam dostupn�ch operac� vyp��e LDAP server p�i dotazu na speci�ln� polo�ku naz�vanou root DSE).

Zabezpe�en� komunikace

LDAP podporuje komunikaci klasicky na �rovni TCP/IP p�es SSL. Autentizace bu� nen� ��dn� (obvykle jsou-li polo�ky adres��e p��stupn� v�em), nebo prob�h� na �rovni ov��ov�n� DN vlastn�ka polo�ky a jeho hesla (zahashovan�ho) a nebo prob�hne pomoc� SASL (Simple Authentication and Security Layer, RFC2222).


LDAP v UN*Xu a autentizace

Pro� se ov�em t�m v��m okolo LDAPu zaob�rat? Vtip je v tom, �e pomoc� LDAPu lze autentizovan� spravovat jak�koli informace. A tak� lze pomoc� n�j �e�it centr�ln� spr�vu u�ivatel� v unixov�ch syst�mech. V principu nejsou informace o u�ivatel�ch a skupin�ch v /etc/passwd (/etc/shadow) a /etc/group, ale nach�zej� se na n�jak�m LDAP serveru. P�i p�ihla�ov�n� na dan� unixov� stroj je pak u�ivatel kontrolov�n nikoli s /etc/passwd, ale s informacemi na LDAP serveru. Odpad� tak pr�ce s u�ivatelsk�mi ��ty rozstrkan�mi po v�ech stanic�ch a v�e je ulo�eno pouze na jednom (pop�. n�kolika) m�stech. Tut� srandu m��ete ud�lat s /etc/services, /etc/limits etc. etc. :-)

V adres��i budeme m�t polo�ky s atributy jako uid, uidNumber, gidNumber, loginshell a dal��, kter� se u�ivatelsk�ho ��tu t�kaj�. To v�e je ur�eno schematem nis, kter� b�v� dod�v�no s implementac� LDAPu. V tomto sch�matu jsou ji� definov�ny p��slu�n� t��dy, kter� strukturu u�ivatelsk�ho ��tu v LDAP adres��i definuj� (nap�. posixAccount, shadowAccount).


OpenLDAP

V sou�asnosti je k dispozici n�kolik implementac� LDAPu, zejm�na komer�n�ch (od obl�ben�ho Microsoftu, p�es Sun a IBM a� po t�eba Novell). Sta�� si jen vybrat - nutnou a netrivi�ln� podm�nkou je b�t v bal�ku. Pro n�s zaj�mav�j�� je v�ak OpenLDAP, kter� je zadarmo, a kter�mu se budu nad�le v�novat.

OpenLDAP je projekt na vytvo�en� open source bal�ku implementuj�c�ho v�e pot�ebn� pro provoz LDAP server�, kter� by se vyrovnal dostupn�m komer�n�m �e�en�m. Je dostupn� zdarma na http://www.openldap.org/ a obsahuje v�e pot�ebn� (knihovny, servery, klientsk� aplikace).


Instalace OpenLDAPu

Instalace asi z�le�� na distribuci. J� m�m lehce masochistickou "distribuci" LFS, tak�e jsem p�ekl�dal a d�lal v�echno ru�n�. Proto pop��u, jak t�mhle univerz�ln�m zp�sobem na to a to pro verzi 2.2.6. Hodit se v�m budou knihovny OpenSSL, SASL, BerkeleyDB (pozor, u posledn� verze jsou dva patche, j� je rad�ji pou�il) nebo GDBM a v neposledn� �ad� to chce m�t n�jakou podporu vl�ken (to u� je dneska snad v ka�d� distribuci). Podrobnosti najdete na str�nk�ch OpenLDAPu. Rozhodn� to nen� �pln� v��et toho, co je pot�eba, sp�� to berte tak, �e konkr�tn� tyhle v�ci jsem musel doinstalovat j�.

Kv�li autentizaci u�ivatele budete pot�ebovat knihovnu PAM a pro z�sk�v�n� informac� o u�ivateli (jeho login, home adres�� atd.) budete pot�ebovat NSS pro LDAP. Ve skute�nosti by v�m k centr�ln� spr�v� sta�il jen ten NSS (Name Service Switch), ale pak by chodily po s�ti i hesla v otev�en� podob�, co� nen� zrovna bezpe�n�.

Nep��jemn� m��e b�t to, �e nem�te p�elo�eny programy jako login a passwd s podporou PAMu. Pak v�m nezbude ne� znovu p�elo�it bal�k Shadow.

Zm�n�m n�kter� zaj�mav� parametry, kter� je dobr� p�edhodit ./configure skriptu a kter� jsou defaultn� nastaveny jinak, ne� je pro n�s zdr�vo. Doporu�uji:

--enable-crypt - umo��uje hashovat hesla pomoc� klasick� funkce crypt(3)

--enable-slurpd - replika�n� d�mon, pot�eba pro sd�len� ��t� v�ce LDAP servery, defaultn� se nep�ekl�d�

--libexecdir=PATH - sp�� jen informa�n�, pokud to nezad�te, tak se v�m p�elo�en� bin�rky nacpou n�kam do $PREFIX/etc/...

--enable-syslog - p�elo�� podporu syslogu

Krom� n�kolik zaj�mav�ch progr�mk� se p�elo�� hlavn� d�mon slapd (defaultn� pak b�� na portu 389).


Konfigurace OpenLDAPu

Zm�n�m zde p��klad konfigura�n�ho souboru, kter� se t�k� centr�ln� spr�vy u�ivatel�. V LDAP�m adres��i lze skladovat prakticky cokoli, tak�e m��ete narazit na spoustu jin�ch konfigura�n�ch soubor�, kter� budou fungovat. Tohle je jen jedna z mo�nost�.

Podle toho, jak� jste zadali p�i konfiguraci p�ed p�ekladem $PREFIX (nebo hodnotu parametru --sysconfdir, naleznete konfigura�n� soubor pro OpenLDAP d�mona, kter� se jmenuje slapd. Konfigura�n� soubor je obvykle v $PREFIX/etc/openldap a jmenuje se slapd.conf. M��e vypadat takto:

database  	ldbm 
suffix          "dc=mylan,dc=net" 
rootdn          "cn=root,dc=mylan,dc=net" 
rootpw          {MD5}nejaky_hash_hesla 
index           objectClass,uid,uidNumber,gidNumber eq 
index           cn,mail,surname,givenname	    eq,subinitial 
password-hash	{crypt}
password-crypt-salt-format	"$1$%.8s" 

Po �ad� definuje pou�itou backend datab�zi, suffix, rozli�ovac� jm�no ko�ene (tedy v tomto p��pad� jde o u�ivatele root), d�le heslo pro root-a (pou�it� je hash MD5). index ��k�, kter� atributy se budou indexovat (pro rychlej�� p��stup), d�le se ur�uje, hashov�n� a form�t hesla (hesla se budou kryptovat stejn� jako v unixu, �ili pomoc� crypt(3)). Podrobnosti se dozv�te na str�nk�ch OpenLDAPu.

Hash hesla m��ete z�skat pomoc� programu slappasswd. Parametrem ur��te hashovac� funkci. Program v�s vyzve k vlo�en� hesla, jeho potvrzen� a v�stupem je p��slu�n� hash hesla. Nap��klad:

# slappasswd -h {MD5} 

vyhod� na v�stup MD5 hash vlo�en�ho hesla. V�ce viz. manov� str�nky.

D�le je pot�eba nastavit ACLs (Acces Control Lists), kter�mi ur��me politiku p��stupu u�ivatel� k ��t�m (u�ivatel si m��e m�nit heslo, u�ivatel nesm� vid�t ��tu jin�ch u�ivatel� atd.). Nejd��v do slapd.conf p�id�te ��dek ur�uj�c�, kde se bude hledat soubor s politikami. M��e to vypadat takto:

include /etc/openldap/slapd.access.conf

V dan�m adres��i pak vytvo��te soubor slapd.access.conf. Jeho obsah m��e vypadat n�sledovn�:

access to dn.regex=".*,dc=mylan,dc=net" attr=userPassword 
          by dn="cn=root,dc=mylan,dc=net" write 
	  by self write 
	  by * auth

access to dn.regex=".*,dc=mylan,dc=net" attr=mail 
          by dn="cn=root,dc=mylan,dc=net" write 
	  by self write 
	  by * read

access to dn.regex=".*,ou=People,dc=mylan,dc=net" 
          by * read

access to dn.regex=".*,dc=mylan,dc=net" 
          by self write 
	  by * read 

Nejd��v omez�me p��stup k atributu uchov�vaj�c�mu hash hesla (userPassword). �ili zapisovat hesla m��e root (druh� ��dek) a jejich vlastn�k (vlastn�k dan� polo�ky ~ ��tu viz. t�et� ��dek). Hesla mohou b�t samoz�ejm� pou�ita pro autentizaci v�emi (by * auth). Dal�� ��st se t�k� nastaven� po�tovn�ch ��t�, v n�sleduj�c� ��sti omezujeme u�ivatele, tak aby si nemohli m�nit home adres��, login shell, uid a dal��. V posledn� ��sti pak nastavujeme, �e si u�ivatel jinde v LDAPu m��e poslou�it na sv�ch z�znamech jak je mu libo a ostatn� m��e ��st. Z�kladn� nastaven� LDAP serveru t�m m�te dokon�eno. Nyn� m��ete spustit slapd, pop�. si p�ipravit startovac� skripty. Pro logov�n� pou��v� server syslog d�mona, defaultn� je typ zpr�vy nastaven na local4, tak�e si n�jak rozumn� nastavte /etc/syslog.conf (popravd� �e�eno, mn� se to logov�n� n�jak neda�ilo rozjet).

Konfigurace OpenLDAP klienta

P�edchoz� ��st se t�kala nastaven� serveru. Nyn� je nutn� nastavit i klientskou stranu (kde b�� LDAP server zaji��uj�c� autentizaci a dal��). V souboru /etc/ldap.conf by m�lo b�t asi toto:

host 127.0.0.1 
base dc=mylan,dc=net 
rootbinddn cn=root,dc=mylan,dc=net
scope one 
pam_filter objectclass=posixaccount 
pam_login_attribute uid
pam_member_attribute gid 
pam_password md5 
nss_base_passwd ou=People,dc=mylan,dc=net?one 
nss_base_shadow ou=People,dc=mylan,dc=net?one 
nss_base_group ou=Group,dc=mylan,dc=net?one 

Polo�ka host ud�v� IP, kde b�� LDAP server, dan� nastaven� je pro po��ta�, kter� je z�rove� serverem i klientem, v opa�n�m p��pad� mus� b�t na dan�m m�st� pln� IP (nebo FQDN). Hodnota polo�ky base mus� odpov�dat suffixu, kter� je nastaven v konfigura�n�m souboru serveru /etc/openldap/slapd.conf. Ostatn� polo�ky mus� korespondovat takt�. Polo�ka rootbinddn ��k�, kdo bude navazovat spojen� s LDAP serverem (bind). Heslo mus� b�t ulo�eno v /etc/ldap.secret, tento soubor mus� b�t ulo�en s vlastn�kem a skupinou root a mus� mu b�t nastavena pr�va na 0600 (pouze rw pro roota). Heslo je tam ulo�eno p��mo nezahashovan� a odpov�d� tomu, jeho� hash je ulo�en v konfigura�n�m souboru OpenLDAP serveru. POZOR, tento soubor mus� kon�it a� na druh�m ��dku (�ili za heslem je�t� <Enter>).

Konfigurace PAMu a NSS

Nejd��ve NSS. P�edpokl�d� se samoz�ejm� nainstalov�n� nss_ldap knihovny (jinak se k LDAPu nedostanete). V souboru /etc/nsswitch.conf nastav�te po�ad� m�sta, kde se postupn� budou informace o u�ivatelsk�ch ��tech hledat (krom� toho jsou tam i dal�� v�ci, kter� n�s moment�ln� nemus� tr�pit). Proto�e chceme, aby se informace o u�ivatelsk�ch ��tech hledali nejd��v lok�ln� a pak v LDAPu, tak m��e konfigurace u p��slu�n�ch polo�ek vypadat t�eba takto:

passwd:     files ldap
shadow:     files ldap 
group:      files ldap

Nyn� konfigurace PAMu. Konfigura�n� soubory se nach�z� obvykle v /etc/pam.d/. Zbytek u� se hodn� li�� distribuci od distribuce. Konfigurace a spol. byla probr�na v jin�m refer�tu, tak�e se t�m nebudu nijak podrobn� zab�vat. Nicm�n� letecky nap��klad login:

auth        required      pam_nologin.so 
auth        sufficient    pam_ldap.so 
auth        sufficient    pam_unix.so shadow use_first_pass 
auth        required      pam_deny.so

account     sufficient    pam_unix.so 
account     sufficient    pam_ldap.so
account     required      pam_deny.so
a passwd:
password    required      pam_cracklib.so 
password    sufficient    pam_ldap.so 
password    sufficient    pam_unix.so 
password    required      pam_deny.so 

P��klady t�chto konfigura�n�ch soubor� naleznete v adres��i pam.d po p�elo�en� bal�ku pam_ldap. Klidn� je m��ete pou��t.

Chcete-li pou��vat LDAP nap��klad i se Sambou a s SSL/TLS, doporu�uji pod�vat se na tutori�l od Mandrak�.


Migrace ��t�

Jak na ��ty? Pro za��tek je dobr� pou��t pro migraci n�jak� �ikovn� n�stroj. Aplikaci, kter� dovede p�e��st /etc/passwd, /etc/shadow a /etc/group, vyt�hnout odtamtud �daje a p�ev�st je do LDIFu. Takov� z�znamy u� m��ete snadno importovat do LDAP datab�ze. Pravd�podobn� naleznete na webu celou �adu n�stroj� (hlavn� r�zn�ch perl skript� je mnoho), kter� tohle um�. Nap��klad yap2lc (Yet Another Passwd 2 LDIF Converter), ten je napsan� v C��ku nebo perlovsk� Migration Tools. Zkou�el jsem druh� jmenovan�, je v n�m k dispozici spousta skript� na migraci v�eho mo�n�ho (shadow, networks, hosts, ...). Je pot�eba nastavit n�jak� �daje v konfigura�n�m souboru migrate_common.ph. D�le�it� je:

$DEFAULT_MAIL_DOMAIN = "mylan.net"; 
$DEFAULT_BASE = "dc=mylan,dc=net";
$DEFAULT_MAIL_HOST = "mail.mylan.net"; 
$EXTENDED_SCHEMA = 1;

Tyto hodnoty je t�eba nastavit podle hodnot v konfigura�n�m souboru OpenLDAP serveru. Jednotliv� skripty d�vaj� na v�stup LDIF soubory, kter� pak za pomoci programu ldapadd vlo��te do adres��e. D�le uvedu p��klad, podrobnosti si m��ete posl�ze nastudovat sami na p��slu�n�ch str�nk�ch (doporu�uji v odkazech Tutori�l od Mandrak�). P��prava adres��e a migrace shadow a group:

# ./migrate_base.pl >base.ldif 
# ldapadd -x -D "cn=root,dc=mylan,dc=net" -W -f base.ldif 
# ETC_SHADOW=/etc/shadow ./migrate_passwd.pl /etc/passwd passwd.ldif
# ldapadd -x -D "cn=root,dc=mylan,dc=net" -W -f passwd.ldif
# ./migrate_group.pl /etc/group group.ldif
# ldapadd -x -D "cn=cn=root,dc=mylan,dc=net" -W -f group.ldif

V��e zm�n�n� perlovsk� migra�n� skripty maj� jednu nev�hodu - po��taj� i s t�m, �e m�te n�jak� schemata, kter� ov�em nejsou obsa�ena p��mo v bal�ku s OpenLDAPem. Pak se p�ipravte na to, �e v�sledn� LDIF soubory budou cht�t n�jak� to SEDov�n�. Ale z�le�� to asi distribuci od distribuce.


Klienti pro pr�ci s adres��em

Spolu s OpenLDAP bal�kem jsou dod�v�ny programy ldapadd, ldapdelete a ldapsearch. Jsou to klasi�t� ��dkov� klienti a pr�ce s nimi nen� p��li� pohodln�. Krom� toho existuje �ada GUI klient�. N��e uv�d�m p�r odkaz� na ty pou�iteln�. Prvn� dva jsem rozjel, t�et� se mi neda�ilo p�elo�it (n�co se mu nel�bilo na moj� iconv knihovn�), pokud m�te distribuci s podporou rpm nebo deb, tak asi nebudete m�t probl�m. Konkr�tn� ten java klient vypad� docela dob�e, odzkou�el jsem ho, jde p�kn� editovat polo�ky, jednotliv� atributy, v�etn� nastaven� a verifikace hesla.

gq - GTK klient pro pr�ci s adres��em

LDAP Browser/Editor - Java klient

Directory Administrator


Replikace �daj� (slurpd)

Pokud m�te v�echny u�ivatele p�kn� na jedno m�st�, hroz� riziko, �e zrovna dan� po��ta� s ldap serverem nebude p��stupn� a tud�� se nikdo nenaloguje. Proto m��ete pou��vat sekund�rn� LDAP servery. Kv�li uchov�n� konzistence je nutno obsah server� synchronizovat. K tomu slou�� speci�ln� d�mon zvan� slurpd. V praxi to vypad� tak, �e tenhle d�mon jen �ek� na zm�ny (kter� �te ze speci�ln�ho souboru, do kter�ho ukl�d� informace o proveden�ch operac�ch slapd), kdy� n�jakou zm�nu zjist�, p�e�te si, jak� operace byly provedeny a po�le po�adavek na jejich proveden� sekund�rn�mu LDAP serveru.

Stru�n� jak na to

P�edev��m je nutn� v konfigura�n�m souboru LDAP serveru nastavit jestli se jedn� o master nebo slave. U masteru to znamen� p�idat polo�ky replica s p��slu�n�mi adresami sekund�rn� LDAP server�. Nap��klad:

replica uri=ldaps://slave.example.com:636
        binddn="cn=Replicator,dc=example,dc=com"
	bindmethod=simple credentials=secret

V konfigura�n�m souboru slave serveru nesm�te hlavn� nastavovat ��dn� polo�ky replica a replogfile. D�le mus�te nastavit vazbu na prim�rn� server pomoc� polo�ky uptdatedn (odpov�d� p��slu�n�mu binddn= v polo�ce replica na stran� masteru). Kone�n�m krokem je nakop�rov�n� datab�ze prim�rn�ho serveru na sekund�rn� (z�le�� na pou�it�m backendu).


Z�v�r

Z�v�rem nutno ��ct, �e jsem se na tomhle t�matu docela vydusil, proto�e jsem o n�m nev�d�l t�m�� nic (zapsal jsem si to, abych se to dob�e nau�il). Z�m�rn� jsem volil pom�rn� dlouh� �vod do adres��ov�ch slu�eb, proto�e m�m pocit, �e se to v ��dn�m p�edm�tu neprob�r� a neprob�ralo ani ve Spr�v� UNIXu II. (cca 2 roky zp�t). Nicm�n� v�echno jsem si vyzkou�el, na vlastn�m po��ta�i (pro velk� provoz a neust�l� �t�st� na HW krach po��ta�� jsem to nezkou�el v laborce) nakonfiguroval a pop�ekl�dal. Jen nev�m pro� mi nefunguje logov�n�, tak�e nev�m pro� se mi nechce u�ivatel autentizovat. Mo�n� n�co z toho vy�e��m je�t� po odevzd�n� refer�tu. Ale jak jsem ji� zm�nil i v��e - v�echno je to hodn� z�visl� na distribuci Linuxu jakou pou��v�te a jak� m�te z�klad, proto p�i instalaci hodn� doporu�uji konzultovat str�nky va�� distribuce. V��e zm�n�n� rady se t�kaj� LFS 4.0. Spoustu probl�m� si hlavn� u�et��te, pokud m�te v�t�inu v�c� p�elo�enou u� s PAMem. Ka�dop�dn� instalaci na LFS like syst�mech doporu�uji jen skaln�m, proto�e se nad�ete jak kon� (o to ov�em jde, �e :-)).


Odkazy

V�t�inu odkaz� uv�d�m u p��slu�n�ch t�mat p��mo v textu ...

OpenLDAP - krom� jin�ho je tam hlavn� ten administr�tor�v pr�vodce

Tutori�l od Mandrak�

Dal�� tutori�lek - docela stru�n�, ale nen� d�lan� na konkr�tn� distribuci

Beyond LFS - aneb jak p�elo�it spr�vn� v refer�tu zmi�ovan� programy a knihovny

Google :-)