关于LDAP主从服务器有一个基本问题没想明白?

sellie

我的使用环境是Sun ONE DS 5.2p4 on Sparc Solaris 9.
autheticationMethod: tls:simple

安装完全遵照 Gary Tay的指南进行.( http://web.singnet.com.sg/~garyttt/).

现在有一个基本问题没想通:
安装DS的时候主从服务器各自都会生成自己的证书.

LDAP客户端加入的时候通过netscape取证书,要么取主server的,要么取从server的.
因为cert7.db和key3.db都放在客户端的/var/ldap目录中.

这样的后果就是就主从LDAP服务器就没有意义了.一旦客户端用的是主server的证书,
那么当主服务器宕掉了,客户端就因为没有从服务器的证书,访问会被拒绝从而还是会吊住.
除非重启再重新取证书.

不知道大大们是怎么处理这个问题的?客户端的证书是不是也可以有一个search path,可以实现
自动匹配.

谢谢!

sellie

这个问题个人觉得是个实际部署LDAP必需要面对的问题.
如果LDAP server只有一个并且临时出点状况的话,所有客户端就都会受到影响.
没有人处理过这种问题吗?
自己顶一下!

sellie

啊!还是没人知道啊?
大家都是怎么部署LDAP的啊?

sellie

还是没有大大来解答一下啊!?

py

Sun ONE DS用的不多，国内很多公司还是更愿意用开源产品。

sellie

open LDAP 其实也面临这个问题的啊.原理上应该如何解决.
这个问题其实简单点说就是怎么做一个LDAP server的备份机器.
否则LDAP server一完蛋,那岂不是所有的东东都要完蛋啦!

yj11

写脚本,定时同步.总会有办法的.

alvis

先回答六樓的，openldap 有個複製庫技術，就是通過傳輸 binlog 來做 copy （單項）

在說一樓的，
我認爲，一樓的問題是，他到底是想做個 主從，還是集群，或者說它的目的是 備份 還是 HA

如果是主從的話，客戶端應該自己解決儅主機不可訪問時，去選擇從機的問題，而且，
在主從的關係中，從機時不可接受客戶端的修改的，從機的數據更改操作，都要與主機是一致的。

而樓主似乎是想得是 HA ，就是客戶端不用考慮自己訪問的是集群的中的哪個節點，儅一個節點
失敗時，集群管理器自己處理相關的操作來保證客戶端的訪問。

sellie

问题解决.
现在看来很傻.
生成key的时候只要用netscape先后把主从server都访问一遍就行了.
这样生成的cert7和key3就对两台server都是有效的.