nat*_*ado 5 openldap replication mac-osx opendirectory
我有一个在 OSX Server 机器上运行的 OpenDirectory 服务器,我想通过拥有一个从服务器来提高服务的可靠性。问题是,我只有 1 个 OSX 服务器,但我有很多可用的 Linux 服务器。我对 Apple 与 OpenDirectory 集成的工具感到满意,但鉴于 Apple 最近停止使用 XServe,我对继续使用 Apple 硬件并不特别感兴趣。
我记得听说 OpenDirectory(现在很遥远)基于 OpenLDAP 代码库;有什么方法可以从 OpenDirectory 复制到 OpenLDAP 而不必购买另一台 OSX 服务器?
有点。Open Directory 域实际上是 3 个半集成服务:用于大多数数据的 LDAPv3(由相当标准的 OpenLDAP 服务器提供)、用于单点登录身份验证的 Kerberosv5 KDC(由麻省理工学院的 Kerberos 实现提供,并进行了一些调整)和 SASL-用于其他类型身份验证的基于密码服务器(由至少部分基于 CMU SASL 项目的东西提供)。
复制 LDAP 组件应该不会太难——像配置任何其他 OpenLDAP 实现一样配置 syncrepl,然后添加额外的服务器 URL 作为 cn=ldapreplicas,cn 的 apple-ldap-replica 属性的值=config,whateveryoursearchbaseis 记录在 LDAP 中(这会告诉客户端有关副本的信息)。
密码服务和 Kerberos 要困难得多。据我所知,Apple 大大扩展了 CMU SASL 代码,所以我认为如果不付出巨大努力,就不可能复制它。Kerberos 很简单……除了它依赖于密码服务器进行复制(副本网络中的密码服务器会相互更新新密码,然后每个服务器负责更新同一服务器上的 Kerberos KDC)。请注意,cn=config 下还有 LDAP 记录,告诉客户端所有可用的密码服务器和 KDC 在哪里;Kerberos 一个是相当明显的,但密码服务器一个更难辨认。
所以你可以做 LDAP 复制,但我认为密码服务器和 KDC 副本不实用。如果您没有备份这些服务,那么复制 LDAP 并没有太大的好处。
如果您只关心正常运行时间,那么添加一台 Mac Mini 服务器作为副本如何?它们无论如何都不适合高吞吐量服务,但作为紧急备份,我认为它们就是这样。
| 归档时间: |
|
| 查看次数: |
3201 次 |
| 最近记录: |