web-dev-qa-db-ja.com

OSXOpenDirectoryからOpenLDAPへのレプリケーション

OSX ServerマシンでOpenDirectoryサーバーを実行していますが、スレーブサーバーを使用してサービスの信頼性を高めたいと考えています。問題は、OSXサーバーが1つしかないのに、Linuxサーバーがたくさんあることです。 OpenDirectoryと統合するAppleのツールには満足していますが、Appleが最近XServeを廃止したことを考えると、Appleハードウェアを継続することに特に興味はありません。

OpenDirectoryは(現在は遠い)OpenLDAPコードベースに基づいていると聞いたのを覚えています。別のOSXサーバーを購入する代わりに、OpenDirectoryからOpenLDAPに複製できる方法はありますか?

5
natacado

ある種。 Open Directoryドメインは、実際には3つの半統合サービスです。ほとんどのデータ用のLDAPv3(かなり標準的なOpenLDAPサーバーによって提供されます)、シングルサインオン認証用のKerberosv5 KDC(MITのKerberos実装によって提供され、いくつかの調整が加えられています)、およびSASL-他のタイプの認証用のベースのパスワードサーバー(少なくとも部分的にCMU SASLプロジェクトに基づくものによって提供されます)。

LDAPコンポーネントの複製はそれほど難しくないはずです-他のOpenLDAP実装と同様にsyncreplを構成してから、cn = ldapreplicas、cnのApple-ldap-replica属性の値として追加のサーバーURLを追加します= config、LDAPのsearchbaseisレコードは何でも(これはクライアントにレプリカについて通知します)。

パスワードサービスとKerberosははるかに困難です。私の知る限り、AppleはCMU SASLコードを大幅に拡張したので、多大な労力をかけずにコピーすることは不可能だと思います。 Kerberosは簡単です...レプリケーションをパスワードサーバーに依存することを除いて(レプリカネットワーク内のパスワードサーバーは新しいパスワードについて相互に更新し、各サーバーは同じサーバー上のKerberos KDCを更新する責任があります)。 cn = configの下にもLDAPレコードがあり、使用可能なすべてのパスワードサーバーとKDCがどこにあるかをクライアントに通知していることに注意してください。 Kerberosのものはかなり明白ですが、パスワードサーバーのものは理解するのが難しいです。

したがって、LDAPレプリケーションを実行することはできますが、パスワードサーバーとKDCレプリカは実用的ではないと思います。また、これらのサービスをバックアップしていない場合、LDAPを複製するメリットはあまりありません。

気になるのが稼働時間だけの場合は、Mac Miniサーバーの1つをレプリカとして追加してみませんか?それらは決して高スループットのサービスには向いていませんが、緊急時のバックアップとして、私はそれらをただのことだと考えています。

8
Gordon Davisson