URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 73851
[ Назад ]

Исходное сообщение
"LDAP: отказоустойчивость"
Отправлено kernel_hacker , 03-Май-07 10:56

Привет.
Есть два LDAP-сервера - один master, другой slave. Соответственно настроена репликация.
Есть определенное количество серверов на FreeBSD 6.x с openldap-client, pam_ldap, nss_ldap и pam_mkhomedir. Авторизация по ssh настроена на использование LDAP.
Каким образом настроить ldap.conf, nss_ldap.conf на этих машинах, чтобы при падении одного из LDAP-серверов все запросы направлялись на другой LDAP-сервер?
Ситуация такая: при падении одного из серверов авторизация по SSH либо отваливается по тайм-ауту, либо, если происходит, то система фактически неработоспособна (например, ls -la или top выполняются по 5-10 минут).
В ldap.conf, nss_ldap.conf указано:
base dc=padl,dc=com
host IP1 IP2
uri ldap://ldap.padl.com/
binddn cn=Admin,dc=padl,dc=com
bindpw secret
scope one
pam_filter objectclass=posixAccount
nss_base_passwd ou=Users,dc=padl,dc=com
nss_base_shadow ou=Users,dc=padl,dc=com
nss_base_group ou=Groups,dc=padl,dc=com
nss_connect_policy persist
nss_paged_results yes
pagesize 1000
timelimit 30
idle_timelimit 3600
bind_policy soft
pam_filter objectclass=posixAccount
pam_login_attribute uid
ssl no
port 389

При этом ldap.padl.com в DNS настроен на оба сервера (IN A IP1, IN A IP1).

Содержание

LDAP: отказоустойчивость,Anatoliy, 11:51 , 03-Май-07
LDAP: отказоустойчивость,universite, 16:40 , 03-Май-07
- LDAP: отказоустойчивость,kernel_hacker, 17:03 , 03-Май-07
  - LDAP: отказоустойчивость,vlad11, 23:39 , 03-Май-07

Сообщения в этом обсуждении

"LDAP: отказоустойчивость"
Отправлено Anatoliy , 03-Май-07 11:51

>Привет.
>
>Есть два LDAP-сервера - один master, другой slave. Соответственно настроена репликация.
>
Я сделал иначе. В качестве host IP1 у меня выступает балансировщик (haproxy - ip3) между ldap-master (ip1) и ldap-slave (ip2). Если master или slave выходит из строя, то балансировщик сам перекидывает запросы на рабочий сервер. Между ip2 <-> ip3 у меня настроен CARP (FreeBSD 6.x), если балансировщик выходит из строя его функции подхватывает slave (ip2).
Удачи!

"LDAP: отказоустойчивость"
Отправлено universite , 03-Май-07 16:40

>При этом ldap.padl.com в DNS настроен на оба сервера (IN A IP1,
>IN A IP1).
Так какие все-таки IP указаны? один или два?
Имхо, надо установить на машине LDAP-proxy, который сам будет перекидывать на работающий LDAP сервер.

"LDAP: отказоустойчивость"
Отправлено kernel_hacker , 03-Май-07 17:03

>Так какие все-таки IP указаны? один или два?
На два.
>Имхо, надо установить на машине LDAP-proxy, который сам будет перекидывать на работающий
>LDAP сервер.
А какое ПО посоветуете?

"LDAP: отказоустойчивость"
Отправлено vlad11 , 03-Май-07 23:39

>>Имхо, надо установить на машине LDAP-proxy, который сам будет перекидывать на работающий
>>LDAP сервер.
>
>А какое ПО посоветуете?
Родное:
http://ldap-proxy.sourceforge.net/ldap_proxy_release_notes.html
http://www.opennet.me/base/net/ldap_proxy.txt.html