2. 程式人生 > >基於OpenLDAP_MirrorMode的OpenLDAP高可用

基於OpenLDAP_MirrorMode的OpenLDAP高可用

阿新 發佈:2018-12-24

背景:

某客戶做使用者中心專案。使用OpenLDAP做為儲存使用者資訊。LDAP是一款輕量級目錄訪問協議(Lightweight Directory Access Protocol,簡稱LDAP),屬於開源集中賬號管理架構的實現,且支援眾多系統版本,被廣大網際網路公司所採用。目錄服務是一種特殊的資料庫系統,對於資料的讀取、瀏覽、搜尋有很好的效果。同時做為使用者中心,資料庫的高可用顯得尤為重要。在客戶生產環境中使用的是客戶的負載均衡裝置,基於思傑的硬體負載均衡裝置,後端配置的是OpenLDAP_MirrorMode,相當於Mysql的雙主模式,後面某一臺伺服器出現問題,負載均衡會將後端的伺服器剔除,另一臺仍能提供服務,如下圖所示
1


實驗環境:
作業系統: centos 7.2
伺服器A:10.10.1.134
伺服器B:10.10.1.132

一:環境準備

  • 下載軟體:
    mkdir /home/admin/openldap && cd /home/admin/openldap

wget ftp://ftp.openldap.org/pub/OpenLDAP/openldap- release/openldap-2.4.23.tgz
wget http://download.oracle.com/berkeley-db/db-4.6.21.tar.gz

  • 關閉selinux
    sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config && sestatus
  • 防火牆關閉
    /bin/systemctl disable firewalld.service && /bin/systemctl stop firewalld.service
  • 配置yum源為阿里雲yum源
    wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo #從阿里雲映象網站下載yum源配置檔案到yum目錄中

sed -i 's/$releasever/7/g' /etc/yum.repos.d/CentOS-Base.repo #修改版本號為redhat7
yum clean all #清空yum快取
yum list #生成列表

  • 安裝openldap環境所需要的依賴包。
    yum -y install libtool-ltdl libtool-ltdl-devel gcc openssl openssl-devel cyrus-sasl-lib.x86_64 cyrus-sasl-devel.x86_64 cyrus-sasl-plain.x86_64 cyrus-sasl-md5.x86_64 cyrus-sasl-ldap.x86_64

二:安裝openldap和Berkeley DB

1. 寫在安裝之前:

  • 編譯安裝openldap需要資料庫的支援,openldap的資料庫支援
    Berkeley DB,Oracle,Mysql,MariaDB,GDBM等資料庫。預設openldap採用Berkeley DB,並且openldap對資料庫有一定的要求,openldap 2.4的軟體為例,需要Berkeley DB 4.4版本以上,所以在編譯安裝openldap原始碼包時需要先下載安裝Berkeley DB

2.編譯安裝Berkeley DB

  • tar -xf db-4.6.21.tar.gz -C /usr/local/src
  • cd /usr/local/src/db-4.6.21/build_unix/ && mkdir /usr/local/BDB
  • ../dist/configure --prefix=/usr/local/BDB
  • make && make install
  • echo "/usr/local/BDB/lib/" > /etc/ld.so.conf.d/bdb.conf
  • ldconfig -v
  • ln -sv /usr/local/BDB/include /usr/include/BDB

3. 編譯安裝openldap

  • tar -xf openldap-2.4.23.tgz -C /usr/local/src/
  • cd /usr/local/src/openldap-2.4.23/
  • ./configure --prefix=/usr/local/openldap --enable-syslog --enable-modules --enable-debug --with-tls CPPFLAGS=-I/usr/local/BDB/include/ LDFLAGS=-L/usr/local/BDB/lib/ --enable-ldap --enable-relay --enable-accesslog --enable-auditlog --enable-syncprov --with-cyrus-sasl --enable-spasswd
  • make depend
  • make && make install
  • echo "/usr/local/openldap/lib/" > /etc/ld.so.conf.d/ldap.conf
  • ldconfig -v
  • ln -sv /usr/local/openldap/include/ /usr/include/ldap
  • ln -s /usr/local/openldap/bin/* /usr/local/bin/
  • ln -s /usr/local/openldap/sbin/* /usr/local/sbin/

三:配置openldap

1 配置openldap的方法有兩種:

  • 通過修改配置檔案實現配置
  • 通過配置資料庫的形式完成配置(slapd.d下的資料庫配置檔案),屬於動態配置不需要重啟slapd程序,
    此配置檔案在cn=config目錄下的LDIF的配置檔案 。此檔案不建議手動修改,用ldap命令生成。

2配置rootdn密碼(optional)

  • /usr/local/openldap/bin/slappasswd
    此密碼記住,後面配置openldap會用到。

3 建立使用者ldap

  • useradd ldap

4建立資料目錄以及日誌檔案

  • mkdir /data/openldap/{data,log,var} -p
  • cd /data/openldap/var/
  • mkdir run

5 修改許可權:

  • cp /usr/local/openldap/etc/openldap/DB_CONFIG.example /data/openldap/data/DB_CONFIG
  • chown -R ldap:ldap /data/openldap/data
  • chmod 700 -R /data/openldap/data

6修改openldap配置檔案

編輯配置檔案vim slapd.conf
include /usr/local/openldap/etc/openldap/schema/core.schema
include /usr/local/openldap/etc/openldap/schema/collective.schema
include /usr/local/openldap/etc/openldap/schema/corba.schema
include /usr/local/openldap/etc/openldap/schema/cosine.schema
include /usr/local/openldap/etc/openldap/schema/duaconf.schema
include /usr/local/openldap/etc/openldap/schema/dyngroup.schema
include /usr/local/openldap/etc/openldap/schema/inetorgperson.schema
include /usr/local/openldap/etc/openldap/schema/java.schema
include /usr/local/openldap/etc/openldap/schema/misc.schema
include /usr/local/openldap/etc/openldap/schema/nis.schema
include /usr/local/openldap/etc/openldap/schema/openldap.schema
include /usr/local/openldap/etc/openldap/schema/ppolicy.schema
pidfile /data/openldap/var/run/slapd.pid
argsfile /data/openldap/var/run/slapd.args
loglevel 256
logfile /data/openldap/log/slapd.log
moduleload syncprov.la # 需要資料同步需要開啟此模組
database bdb
directory /data/openldap/data
suffix "dc=boe,dc=com"
rootdn "cn=Manager,dc=boe,dc=com"
rootpw {SSHA}eJtr5umAo23PqTKATU/X6D8swJ9yIlSx #用slappasswd命令生成的密碼
index objectclass,entryCSN,entryUUID eq
overlay syncprov
syncprov-checkpoint 100 10
syncprov-sessionlog 100
serverID 2
syncrepl rid=123
provider=ldap://10.10.1.160
bindmethod=simple
binddn="cn=Manager,dc=boe,dc=com"
credentials=123456
searchbase="dc=boe,dc=com"
schemachecking=off
type=refreshAndPersist
retry="60 +"
mirrormode on
兩個伺服器的配置檔案有兩個地方不一致
1)serverID不一致
2)provider=ldap://對端的ip

7開啟日誌功能

  • 通過修改配置檔案開啟日誌功能
  1. /etc/rsyslog.d/slapd.conf

local4.* /data/openldap/log/openldap.log
重啟rsyslog和slapd
service rsyslog restart

  • 通過修改資料庫配置檔案開啟

  1. /root/loglevel.ldif << EOF

dn: cn=config
changetype: modify
replace: olcLogLevel
olcLogLevel: stats
EOF
ldapadd -x -D "cn=Manager,dc=boe,dc=com" -f ./loglevel.ldif -w secret

四:配置phpldpadmin工具

1 安裝和配置LDAP管理工具PHPldapadmin

  • yum -y install httpd php php-ldap php-gd php-mbstring php-pear php-bcmath php-xml
  • yum -y install epel-release
  • yum --enablerepo=epel -y install phpldapadmin

2 修改配置檔案

  • vim /etc/phpldapadmin/config.php +398
    397行取消註釋,398行添加註釋

$servers->setValue('login','attr','dn');

  • vi /etc/httpd/conf.d/phpldapadmin.conf
    Apache 2.4

Require all granted (修改此處)
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
Allow from ::1

3 設定開機自啟並啟動Apache

[[email protected] ~]# systemctl enable httpd
[[email protected] ~]# systemctl start httpd
啟動openldap
/usr/local/openldap/libexec/slapd
訪問用http://ip/phpldapadmin訪問如圖
111
222
在10.10.1.132上建立了一個OU名為testou,會發現10.10.1.132會自動同步到本地,如圖:
333
444
兩伺服器日誌如下:
555
666
以上結果得知,在映象模式下,當其中一臺伺服器增加操作OU時,另一臺也會同步增加,兩臺伺服器均可進行讀寫操作,任何一臺資訊發生變化,都會以推的方式進行通知。

相關推薦

基於HAProxy+Keepalived可用負載均衡web服務的搭建

1.2 epo cnblogs oba backup 保持 ica mysql redis 一 原理簡介 1.HAProxyHAProxy提供高可用性、負載均衡以及基於TCP和HTTP應用的代理,支持虛擬主機,它是免費、快速並且可靠的一種解決方案。HAProxy特別適用於那

亞馬遜AWS在線系列講座——基於AWS雲平臺的可用應用設計

data 可用 mod -m 討論 數據 目標 popu 實例 設計高可用的應用是架構師的一個重要目標。可是基於雲計算平臺設計高可用應用與基於傳統平臺的設計有很多不同。雲計算在給架構師帶來了很多新的設計挑戰的時候,也給帶來了很多新的設計理念和可用的服務。怎樣在設計應用的

基於corosync和pacemaker+drbd實現mfs可用

mfs高可用 drbd pacemaker corosync moosefs 基於corosync和pacemaker+drbd實現mfs高可用一、MooseFS簡介1、介紹 MooseFS是一個具備冗余容錯功能的分布式網絡文件系統,它將數據分別存

實現keepalived企業級可用基於LVS-DR模式

負載均衡 lvs dr模式 keepalived 地址漂移 一、為什麽要使用keepalived 當後端實現了負載均衡後壞掉一臺機器後可以用另一臺後臺web服務器補上,但是當前端的LVS壞掉後,整套服務就徹底廢掉,因此前端的LVS也需要實現負載均衡。 Keepa

基於linux實現keepalived可用的集群網站架構

基於linux實現keepalived高可用的集群網站架構模擬場景:隨著業務的發展,網站的訪問量越來越大,網站訪問量已經從原來的1000QPS,變為3000QPS,目前業務已經通過集群LVS架構可做到隨時拓展,後端節點已經通過集群技術(ldirectord)保障了可用性,但對於前端負載均衡器來說,是個比較大的

基於keepalived實現多種模式的可用集群網站架構

keepalived 一、 實現主從服務器高可用技術。 大概網絡拓撲圖: 前提準備條件: 準備四臺機器,一臺為keepalived的master,一臺為keepalived的backup,一臺為rs1,一臺為rs2,同時都關閉防火墻和selinux。 ①安裝包。 yum install kee

用haproxy結合keepalived實現基於LNMP的負載均衡和可用

lnmp的負載均衡以及高可用今天我們講haproxy結合keepalived實現LNMP的負載均衡和高可用,現在的公司大部分都基於haproxy實現負載均衡。下面以一個事例去給大家詳細講解如何去實現:一、用haproxy結合keepalived實現基於lnmp的負載均衡和高可用服務,要求: (1)實現動

實現基於Haproxy_NAT+Keepalived負載均衡可用架構

haproxy實驗思路:1.做這個實驗首先可以想象一個場景,用戶訪問webserver的時候首先會經過調度器,首先需要明白的一點就是一般公司一般是在內網,客戶端是通過外網訪問webserver的。2.haproxy是一個負載均衡器,Keepalived通過VRRP功能能再結合LVS負載均衡軟件即可部署一個高性

實現基於Haproxy+Keepalived負載均衡可用架構

keepalived+haproxy一:環境準備centos系統服務器4臺,兩臺用於做haproxy主從架構,兩臺作為後端server,服務器配置好yum源,防火墻關閉,關閉selinux,各節點時鐘服務同步,各節點之間可以通過主機名互相通信。二:安裝步驟1.iptables –F &&set

基於DR模式的keepalived主從模式可用架構搭建

linuxkeepalived高可用一:架構圖示2.keepalived是什麽?Keepalived的作用是檢測服務器的狀態,如果有一臺web服務器宕機 ,或工作出現故障,Keepalived將檢測到,通過VRRP協議,將有故障的服務器從系統中剔除,同時使用其他服務器代替該服務器的工作,當服務器工作正常後 K

【MySQL】【可用基於MHA架構的MySQL可用故障自動切換架構

bin candidate nlog repo sage $1 內容 data from 基於MHA架構的MySQL高可用切換架構 環境: ? CentOS7+MySQL 5.7 + GTID 業務系統:mainBusiness ? nod

基於Consul的數據庫可用架構【轉】

main mas sentinel rec handle mat nload hand unless 幾個月沒有更新博客了,已經長草了,特意來除草。本次主要分享如何利用consul來實現redis以及mysql的高可用。以前的公司mysql是單機單實例,高可用MHA加vip

基於騰訊雲CLB實現K8S v1.10.1集群可用+負載均衡

開源 可能 管理平臺 可用 st3 tab OS 1.10 style 概述: 最近對K8S非常感興趣,同時對容器的管理等方面非常出色,是一款非常開源,強大的容器管理方案,最後經過1個月的本地實驗,最終決定在騰訊雲平臺搭建屬於我們的K8S集群管理平臺~ 采購之後已經在本

Redis 可用 基於Sentinel + keepalived 實現

mas oba 保持 pan 分享 是否 因此 遇到 req 1 概述redis作為緩存工具,如果僅僅單機,一旦掛掉,將對業務造成嚴重的影響,因此建議生產環境上部署redis高可用環境,本文將基於Sentinel + keepalived 實現redis的高可用。本文主要

RabbitMq 基於 keepalived+haproxy實現可用

for eal arch ant pen 概述 否則 一個 round 1 概述rabbitmq作為消息隊列,廣泛用於生產環境,但是,如果單節點,將導致故障後,生產環境不可用,因此,需要部署高可用環境本文將介紹基於keepalived+haproxy實現rabbitmq的

基於MHA+semi sync實現mysql數據庫的可用

ssh-key emc centos 節點和 oos oar name 機會 ntp 一、實驗原理: 1、拓撲結構圖如下: 2、工作原理: 從宕機崩潰的master保存二進制日誌事件(binlog events) 識別含有最新更新的slave 應用差異的中繼

基於galera cluster集群實現mysql數據庫的可用

xtend .repo 需要 主從 adb 讀寫 應用程序 維護 ddr 一、galera cluster 簡介 1、Galera Cluster: 集成了Galera插件的MySQL集群,是一種新型的,數據 不共享的,高度冗余的高可用方案,目前Galera Clu

Flume NG可用叢集搭建詳解(基於flume-1.7.0)

1、Flume NG簡述 Flume NG是一個分散式,高可用,可靠的系統,它能將不同的海量資料收集,移動並存儲到一個數據儲存系統中。輕量,配置簡單,適用於各種日誌收集,並支援 Failover和負載均衡。並且它擁有非常豐富的元件。Flume NG採用的是三層架構:Agent層,Collecto

基於阿里雲SLB/ESS/EIP/ECS/VPC的同城可用方案演練

天基於阿里雲SLB/ESS/EIP/ECS/VPC等產品進行了一次同城高可用方案演練: 基本步驟如下: 1. 在華東1建立VPC網路VPC1,在華東1可用區B和G各建立一個虛擬交換機vpc1_switch 和 vpc1_switch_2_g;   2. 建立兩個EIP,其中

MySQL可用架構之基於MHA的搭建

MySQL高可用架構之基於MHA的搭建  一、MySQL MHA架構介紹: MHA(Master High Availability)目前在MySQL高可用方面是一個相對成熟的解決方案,它由日本DeNA公司youshimaton(現就職於Facebook公司)開發,是一套