对以前文章的一些补充

mjwdj

                                LDAP使用一段时间后的感受，其实配置文档网上很多，以下是一些个人的经验：
ldap的数据库文件是在：/var/lib/ldap/下面的。
1、一开始把ldap放在一台计算的服务器上，当这台服务器负载重的时候，依靠ldap验证登录的机器登录会非常慢（超慢，近乎死机），所以建议用一台空闲的主机（甚至可以是vmware一台虚拟机）。
2、和MySql一样，有2种方法做数据库的备份：一、用ldapsearch
-x把内容倒出来存成文件，注意清除一下这个命令输出的和数据无关的信息。万一数据库完了，把ldap相关的包删掉，把原来的数据库文件删掉，在重新安装
ldap相关包，把备份的文件改成ldif扩展名，一次导入就行了。个人建议每次作修改时的ldif文件最好保存被查，最好编辑成一个ldif文件，也可
以算是一种备份ldap数据的方案。二、另一种是把数据库文件直接打包备份，出现问题时，停止ldap server，把文件解压，再重新启动。
3、authconfig文件修改的文件中有2个ldap.conf文件：/etc/ldap.conf和
/etc/openldap/ldap.conf。
在我看来前者只是客户端在作认证时才用的，而后者是客户端控制server时用的。具体点：不管在客户
端还是服务器，如果用ldap做认证，服务器的ldap server应该指向本机，前者是必须的，后者可有可无。在管理ldap
server时后者是必须的，前者可有可无，即一台客户端配置了/etc/openldap/ldap.conf文件，就能通过ldap相关的命令来配置
文件中指定的服务器，但这台机器未必使用了ldap认证。只要修改一下/etc/openldap/ldap.conf文件中的主机名或IP就能用一台机
器配置任何一台ldap server。
为保持系统稳定，建议配置多台ldap server，并以空格分隔把主机名或IP列在/etc/ldap.conf文件中，这样万一第一台server宕了，第二台server会继续认证。
openldap是可以配置主从服务器复制的，但是我不知道他们到底是怎么工作的，在主服务器故障时，尤其是数据库文件出问题时，是否会把错误数据复制到从服务器，所以没有使用它的复制功能。
另外，建议多台server使用不同的管理员密码，要修改数据时只需修改你本地的/etc/openldap/ldap.conf文件中的主机名后对每台执行一次就行了。应该不会很麻烦。
4、注意最好不要把系统自带的帐户导入ldap数据库！这可能会导致某些服务没法启动！
5、用户修改密码是根据/etc/ldap.conf中列出的第一台服务器来修改的，所以修改密码后需要同步其他的备用服务器；可以在crontab中配置任务，个人认为每周同步一次就行了。
如何在一台PC上以一个普通用户的帐户登陆后以root权限管理企业里所有的Linux主机：
最主要的是使普通用户无需密码就能以root登陆远
程主机，这用rsh似乎很容易实现，但r族命令实在太危险了！！我们用ssh，在本机为你的帐户生成ssh密钥，把公钥加入要管理的每台主机的root帐
户的authorized_keys2文件中，使自己的帐户不需要密码就能以root身份登陆主机。具体配置参考我的文章《SSH服务简介》中有关密钥验
证的内容。
配置后应该执行：ssh root@server1就能直接进入远程主机。
配置完了写个类似下面的脚本就能一次修改所有的主机配置了，当然也可以把本地编辑好的配置文件“推”到每台主机
#!/bin/bash
for host_name in server1 server2 server3       #列出你要管理的主机名，可能需要完整的主机名或IP，如server1.yourdomain.com
do
   ssh root@$host_name sed -e '/^#.*/d' /etc/hosts
   scp /etc/hosts root@host_name:/etc/hosts
done
别高兴太早，别忘了先检查一下所有的机器是否都正常。把上面两行命令替换成下面的内容先检查一下：
  echo "Check $host_name now!"
  ssh root@$host_name uname -a
这会输出每台主机的详细的版本信息，输出正常就说明主机都正常咯，当然可以换成其他命令。借此机会可以直接检查配置文件的内容。哈哈，又是一举两得！
               
               
               
               
               
               
               

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/13902/showart_366369.html