openldap2.4 配置后不同步，求大神指导

venux

主服务器有数据，从服务器没有任何数据 ，配置文件去吧基本在最后几行


这是主服务器配置

1. # See slapd.conf(5) for details on configuration options.
   
2. # This file should NOT be world readable.
   
3. #
   
4. 
   
5. include                /etc/openldap/schema/corba.schema
   
6. include                /etc/openldap/schema/core.schema
   
7. include                /etc/openldap/schema/cosine.schema
   
8. include                /etc/openldap/schema/duaconf.schema
   
9. include                /etc/openldap/schema/dyngroup.schema
   
10. include                /etc/openldap/schema/inetorgperson.schema
    
11. include                /etc/openldap/schema/java.schema
    
12. include                /etc/openldap/schema/misc.schema
    
13. include                /etc/openldap/schema/nis.schema
    
14. include                /etc/openldap/schema/openldap.schema
    
15. include                /etc/openldap/schema/ppolicy.schema
    
16. include                /etc/openldap/schema/collective.schema
    
17. include                /etc/openldap/schema/sudo.schema
    
18. # Allow LDAPv2 client connections.  This is NOT the default.
    
19. allow bind_v2
    
20. 
    
21. # Do not enable referrals until AFTER you have a working directory
    
22. # service AND an understanding of referrals.
    
23. #referral        ldap://root.openldap.org
    
24. 
    
25. pidfile                /var/run/openldap/slapd.pid
    
26. argsfile        /var/run/openldap/slapd.args
    
27. loglevel        1
    
28. # Load dynamic backend modules
    
29. # - modulepath is architecture dependent value (32/64-bit system)
    
30. # - back_sql.la overlay requires openldap-server-sql package
    
31. # - dyngroup.la and dynlist.la cannot be used at the same time
    
32. 
    
33. # modulepath /usr/lib/openldap
    
34. # modulepath /usr/lib64/openldap
    
35. 
    
36. # moduleload accesslog.la
    
37. # moduleload auditlog.la
    
38. # moduleload back_sql.la
    
39. # moduleload chain.la
    
40. # moduleload collect.la
    
41. # moduleload constraint.la
    
42. # moduleload dds.la
    
43. # moduleload deref.la
    
44. # moduleload dyngroup.la
    
45. # moduleload dynlist.la
    
46. # moduleload memberof.la
    
47. # moduleload pbind.la
    
48. # moduleload pcache.la
    
49. # moduleload ppolicy.la
    
50. # moduleload refint.la
    
51. # moduleload retcode.la
    
52. # moduleload rwm.la
    
53. # moduleload seqmod.la
    
54. # moduleload smbk5pwd.la
    
55. # moduleload sssvlv.la
    
56. # moduleload syncprov.la
    
57. # moduleload translucent.la
    
58. # moduleload unique.la
    
59. # moduleload valsort.la
    
60. 
    
61. # The next three lines allow use of TLS for encrypting connections using a
    
62. # dummy test certificate which you can generate by running
    
63. # /usr/libexec/openldap/generate-server-cert.sh. Your client software may balk
    
64. # at self-signed certificates, however.
    
65. #TLSCACertificateFile   /etc/openldap/cacerts/cacert.pem
    
66. #TLSCertificateFile      /etc/openldap/cacerts/slapdcert1.pem
    
67. #TLSCertificatekeyFile   /etc/openldap/cacerts/slapdkey1.pem
    
68. #TLSVerifyClient      never
    
69. #TLSCACertificatePath /etc/openldap/certs
    
70. #TLSCertificateFile "\"OpenLDAP Server\""
    
71. #TLSCertificateKeyFile /etc/openldap/certs/password
    
72. 
    
73. # Sample security restrictions
    
74. #        Require integrity protection (prevent hijacking)
    
75. #        Require 112-bit (3DES or better) encryption for updates
    
76. #        Require 63-bit encryption for simple bind
    
77. # security ssf=1 update_ssf=112 simple_bind=64
    
78. 
    
79. # Sample access control policy:
    
80. #        Root DSE: allow anyone to read it
    
81. #        Subschema (sub)entry DSE: allow anyone to read it
    
82. #        Other DSEs:
    
83. #                Allow self write access
    
84. #                Allow authenticated users read access
    
85. #                Allow anonymous users to authenticate
    
86. #        Directives needed to implement policy:
    
87. # access to dn.base="" by * read
    
88. # access to dn.base="cn=Subschema" by * read
    
89. # access to *
    
90. #        by self write
    
91. #        by users read
    
92. #        by anonymous auth
    
93. #
    
94. # if no access controls are present, the default policy
    
95. # allows anyone and everyone to read anything but restricts
    
96. # updates to rootdn.  (e.g., "access to * by * read")
    
97. #
    
98. # rootdn can always read and write EVERYTHING!
    
99. 
    
100. # enable on-the-fly configuration (cn=config)
     
101. database config
     
102. access to *
     
103.         by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
     
104.         by * none
     
105. 
     
106. # enable server status monitoring (cn=monitor)
     
107. database monitor
     
108. access to *
     
109.         by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
     
110.         by dn.exact="cn=Manager,dc=my-domain,dc=com" read
     
111.         by * none
     
112. 
     
113. #######################################################################
     
114. # database definitions
     
115. #######################################################################
     
116. 
     
117. database        bdb
     
118. suffix                "dc=my-domain,dc=com"
     
119. checkpoint        1 1
     
120. rootdn                "cn=admin,dc=my-domain,dc=com"
     
121. # Cleartext passwords, especially for the rootdn, should
     
122. # be avoided.  See slappasswd(8) and slapd.conf(5) for details.
     
123. # Use of strong authentication encouraged.
     
124. rootpw                secret123
     
125. # rootpw                {crypt}ijFYNcSNctBYg
     
126. #rootpw        {SSHA}yHrAJ8A5YILvrRcJskhZBTtka87NW8nN
     
127. 
     
128. # The database directory MUST exist prior to running slapd AND
     
129. # should only be accessible by the slapd and slap tools.
     
130. # Mode 700 recommended.
     
131. directory        /var/lib/ldap
     
132. 
     
133. # Indices to maintain for this database
     
134. index objectClass                       eq,pres
     
135. index ou,cn,mail,surname,givenname      eq,pres,sub
     
136. index uidNumber,gidNumber,loginShell    eq,pres
     
137. index uid,memberUid                     eq,pres,sub
     
138. index nisMapName,nisMapEntry            eq,pres,sub
     
139. 
     
140. # Replicas of this database
     
141. #replogfile /var/lib/ldap/openldap-master-replog
     
142. #replica host=103.7.220.57:389
     
143. #     binddn="cn=admin,dc=my-domain,dc=com"
     
144. #     bindmethod=simple credentials=secret123
     
145. #
     
146. serverID        1
     
147. 
     
148. overlay     syncprov
     
149. syncrepl    rid=001
     
150.    provider=ldap://10.10.2.57:389
     
151.    type=refreshAndPersist
     
152.    searchbase="dc=my-domain,dc=com"
     
153.    bindmethod=simple
     
154.    binddn="cn=admin,dc=my-domain,dc=com"
     
155.    credentials=secret123
     
156.    retry="60 +"
     
157. mirrormode on
     

复制代码

这是从服务器配置

1. #
   
2. # See slapd.conf(5) for details on configuration options.
   
3. # This file should NOT be world readable.
   
4. #
   
5. 
   
6. include                /etc/openldap/schema/corba.schema
   
7. include                /etc/openldap/schema/core.schema
   
8. include                /etc/openldap/schema/cosine.schema
   
9. include                /etc/openldap/schema/duaconf.schema
   
10. include                /etc/openldap/schema/dyngroup.schema
    
11. include                /etc/openldap/schema/inetorgperson.schema
    
12. include                /etc/openldap/schema/java.schema
    
13. include                /etc/openldap/schema/misc.schema
    
14. include                /etc/openldap/schema/nis.schema
    
15. include                /etc/openldap/schema/openldap.schema
    
16. include                /etc/openldap/schema/ppolicy.schema
    
17. include                /etc/openldap/schema/collective.schema
    
18. 
    
19. # Allow LDAPv2 client connections.  This is NOT the default.
    
20. allow bind_v2
    
21. 
    
22. # Do not enable referrals until AFTER you have a working directory
    
23. # service AND an understanding of referrals.
    
24. #referral        ldap://root.openldap.org
    
25. 
    
26. pidfile                /var/run/openldap/slapd.pid
    
27. argsfile        /var/run/openldap/slapd.args
    
28. 
    
29. # Load dynamic backend modules
    
30. # - modulepath is architecture dependent value (32/64-bit system)
    
31. # - back_sql.la overlay requires openldap-server-sql package
    
32. # - dyngroup.la and dynlist.la cannot be used at the same time
    
33. 
    
34. # modulepath /usr/lib/openldap
    
35. # modulepath /usr/lib64/openldap
    
36. 
    
37. # moduleload accesslog.la
    
38. # moduleload auditlog.la
    
39. # moduleload back_sql.la
    
40. # moduleload chain.la
    
41. # moduleload collect.la
    
42. # moduleload constraint.la
    
43. # moduleload dds.la
    
44. # moduleload deref.la
    
45. # moduleload dyngroup.la
    
46. # moduleload dynlist.la
    
47. # moduleload memberof.la
    
48. # moduleload pbind.la
    
49. # moduleload pcache.la
    
50. # moduleload ppolicy.la
    
51. # moduleload refint.la
    
52. # moduleload retcode.la
    
53. # moduleload rwm.la
    
54. # moduleload seqmod.la
    
55. # moduleload smbk5pwd.la
    
56. # moduleload sssvlv.la
    
57. # moduleload syncprov.la
    
58. # moduleload translucent.la
    
59. # moduleload unique.la
    
60. # moduleload valsort.la
    
61. 
    
62. # The next three lines allow use of TLS for encrypting connections using a
    
63. # dummy test certificate which you can generate by running
    
64. # /usr/libexec/openldap/generate-server-cert.sh. Your client software may balk
    
65. # at self-signed certificates, however.
    
66. #TLSCACertificateFile /home/weijx/myca/cacert.pem
    
67. #TLSCertificateFile  /home/weijx/myca/ldapcert.pem
    
68. #TLSCertificateKeyFile /home/weijx/myca/ldapkey.pem
    
69. #TLSCACertificatePath /etc/openldap/certs
    
70. #TLSCertificateFile "\"OpenLDAP Server\""
    
71. #TLSCertificateKeyFile /etc/openldap/certs/password
    
72. 
    
73. # Sample security restrictions
    
74. #        Require integrity protection (prevent hijacking)
    
75. #        Require 112-bit (3DES or better) encryption for updates
    
76. #        Require 63-bit encryption for simple bind
    
77. # security ssf=1 update_ssf=112 simple_bind=64
    
78. 
    
79. # Sample access control policy:
    
80. #        Root DSE: allow anyone to read it
    
81. #        Subschema (sub)entry DSE: allow anyone to read it
    
82. #        Other DSEs:
    
83. #                Allow self write access
    
84. #                Allow authenticated users read access
    
85. #                Allow anonymous users to authenticate
    
86. #        Directives needed to implement policy:
    
87. # access to dn.base="" by * read
    
88. # access to dn.base="cn=Subschema" by * read
    
89. # access to *
    
90. #        by self write
    
91. #        by users read
    
92. #        by anonymous auth
    
93. #
    
94. # if no access controls are present, the default policy
    
95. # allows anyone and everyone to read anything but restricts
    
96. # updates to rootdn.  (e.g., "access to * by * read")
    
97. #
    
98. # rootdn can always read and write EVERYTHING!
    
99. 
    
100. # enable on-the-fly configuration (cn=config)
     
101. database config
     
102. access to *
     
103.         by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" manage
     
104.         by * none
     
105. 
     
106. # enable server status monitoring (cn=monitor)
     
107. database monitor
     
108. access to *
     
109.         by dn.exact="gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth" read
     
110.         by dn.exact="cn=Manager,dc=my-domain,dc=com" read
     
111.         by * none
     
112. 
     
113. #######################################################################
     
114. # database definitions
     
115. #######################################################################
     
116. 
     
117. database        bdb
     
118. suffix                "dc=my-domain,dc=com"
     
119. checkpoint        1 1
     
120. rootdn                "cn=admin,dc=my-domain,dc=com"
     
121. # Cleartext passwords, especially for the rootdn, should
     
122. # be avoided.  See slappasswd(8) and slapd.conf(5) for details.
     
123. # Use of strong authentication encouraged.
     
124. rootpw        secret123
     
125. # rootpw                {crypt}ijFYNcSNctBYg
     
126. 
     
127. # The database directory MUST exist prior to running slapd AND
     
128. # should only be accessible by the slapd and slap tools.
     
129. # Mode 700 recommended.
     
130. directory        /var/lib/ldap
     
131. 
     
132. # Indices to maintain for this database
     
133. index objectClass                       eq,pres
     
134. index ou,cn,mail,surname,givenname      eq,pres,sub
     
135. index uidNumber,gidNumber,loginShell    eq,pres
     
136. index uid,memberUid                     eq,pres,sub
     
137. index nisMapName,nisMapEntry            eq,pres,sub
     
138. 
     
139. # Replicas of this database
     
140. #replogfile /var/lib/ldap/openldap-master-replog
     
141. #replica host=ldap-1.example.com:389 starttls=critical
     
142. #     bindmethod=sasl saslmech=GSSAPI
     
143. #     authcId=host/ldap-master.example.com@EXAMPLE.COM
     
144. #include         /etc/openldap/schema/sudo.schema
     
145. 
     
146. 
     
147. serverID        2
     
148. 
     
149. overlay    syncprov
     
150. 
     
151. syncrepl   rid=001
     
152.    provider=ldap://10.10.2.56:389
     
153.    type=refreshAndPersist
     
154.    searchbase="dc=my-domain,dc=com"
     
155.    bindmethod=simple
     
156.    binddn="cn=admin,dc=my-domain,dc=com"
     
157.    credentials=secret123
     
158.    retry="60 +"
     
159. 
     
160. mirrormode on
     

复制代码

woxizishen

1.看你这情况是想做镜像互备模式，楼主一来就玩openldap2.4的第二种同步方式，是不是有点走太快了。我有发布过openldap2.4最基本的Syncrep第一种l方式同步，貌似都没人回帖，就懒得写了。后面还有4种同步Delta-syncrepl，N-Way Multi-Master ，MirrorMode  ，Syncrepl Proxy，和一种高可用的同步方式)。


2.言归正传，竟然你是做镜像互备，咋给你贴出配置，还有你那长篇符会吓坏没有配置过人的。同步配置没那么长。。。。。重要的给你说明，简单的就不讲了。俺这贴出来的可是网上绝版，毕竟研究这块的人少。

同步方式二:鏡像雙機同步(在我眼里镜像互备，没有主从之分)
主機一:
(全局參數)
serverID 001                        主机id(鏡像模式的master主機不能相同)
(syncrepl参数)
syncrepl rid=000                  rid号，两台机器一致
provider=ldap://172.16.9.132:389        對端主機IP,後面端口號如果默認389可以取消冒號後面內容。
type=refreshAndPersist            同步機制設定
(refreshAndPersist 同步模式, 提供者使用基于推模式的同步.任何一台主機修改數據,并符合設定的參數,，將主動同步數據到對端主機上,另外一種模式refreshOnly，這種屬於拉模式
這裡推就是主動發送數據，這裡拉就理解成為從別的地方獲取數據)
retry="5 5 300 +"                      同步更新重試次數和時間。
(5 5
Mean:前5秒中重試5次，也就是一秒就重試一次
300 +
Mean:5秒過後，每300秒重試一次，直到成功為止。如果不希望一直無限的去重試，可以設定成這樣,後面跟上一個+.
retry=”60 10 300 10
mean：60秒內重複10次，60秒后-300秒內重複10次，如果仍不成功，則停止重試。)
searchbase="dc=kingbright,dc=com"           
attrs="*,+"                           
bindmethod=simple                                         
binddn="cn=root,dc=kingbright,dc=com"         
credentials=3Eg+gKegvZ73HYz5c2c5JA==        
mirrormode on                                 

主数据库的syncrepl 提供者
overlay syncprov                               後端工作在overlay模式下                  
syncprov-checkpoint 100 10              同步的滿足條件
當滿足修改100個條目或10分鐘進行同步一次。



主機二:
全局參數
serverID 002                主机id(所有鏡像模式的master主機不能相同)
syncrepl参数
syncrepl rid=000           rid号，两台机器一致

provider=ldap://172.16.9.132:389        
type=refreshAndPersist                     
  retry="5 5 300 +"
  searchbase="dc=kingbright,dc=com"            
  attrs="*,+"
  bindmethod=simple                          
  binddn="cn=root,dc=kingbright,dc=com"         
  credentials=3Eg+gKegvZ73HYz5c2c5JA==      
mirrormode on                                
overlay syncprov                                
syncprov-checkpoint 100 10           






如果按照上面的配置,仔细检查，还是无法同步，那么继续，肯定同步这一块的配置是没问题了，(俺觉得你要检查下你的2边ldap相关服务到底有没有启动起来，同步目录的权限,是否同步的端口被防火墙拦截了等):
將你自认为的主服務器停止，然後将/var/lib/ldap(以你的实际目录数据存放位置为准)已經建立好的數據全部複製到对端服務器對應的目錄下。別忘記複製過來的文件宿主權限全部要改成LDAP。操作完成后，將2边的ldap服務器全部重新啟動下。如果还不行，请同步时候，把同步出错的日志贴出来。如果搞定了你可以试着做下面这种模式

















注意:如果同步的服务器不在一个公司，强烈建议你用LDAPS加密方式同步，不然嘿嘿~你那数据就是在网上裸奔！你那个同步密钥连暗文都不是，充其量就是防君子的，不要我说的太明白了。

睿智2012

有空好好学习一下版主总结

venux

回复 2# woxizishen


    还是不行啊，没开防火墙，服务都起了，   日志里也没写什么东西，就记录了重启的日志。


/etc/openldap/slapd.conf
loglevel        4095

/etc/rsyslog.conf
local4.*                                                /var/log/ldap.log

venux

回复 2# woxizishen


    是不是有什么功能我没打开呢  



我重新编译安装了一次，这次有日志了  ，但是报错了

woxizishen

回复 5# venux

./configure --enable-ldap --enable-accesslog --enable-syncprov –with-tls=openssl
#上述configure後面的三個參數是開啟新版openldap同步複製功能，不加上的話，默認只
開啟syncprov，所以這個--enable-syncprov參數你可加也可以不加。

编译时候有没有加上我上述的参数?

   

venux

回复 6# woxizishen


    我的编译参数是这样的 ，我在重新编译一次试试

./configure --prefix=/usr/local/openldap --enable-syslog --enable-modules --with-tls CPPFLAGS=-I/usr/local/BerkeleyDB.4.8/include/ LDFLAGS=-L/usr/local/BerkeleyDB.4.8/lib/

woxizishen

回复 7# venux

你的编译没加同步复制功能，默认就只能使用最原始的同步方式，后面的镜像同步等方式都无法使用的。
   

venux

回复 8# woxizishen


    ./configure --prefix=/usr/local/openldap24 --enable-ldap --enable-accesslog --enable-syncprov  --enable-syslog --enable-modules --with-tls=openssl CPPFLAGS=-I/usr/local/BerkeleyDB.4.8/include/ LDFLAGS=-L/usr/local/BerkeleyDB.4.8/lib/



这是新的参数 ，还是不行，  搞死了

woxizishen

回复 9# venux

从你的日志可以看出，你这台openldap服务器根本连不到对端的openldap服务器。看到你那个ldap_sasl报-1错误啦了没，你离成功不远啦，不知道你看谁的架设教材，从头到尾这里漏点，哪里漏点，把俺累到了。



1.日志可以明确判断本台openldap服务器与对端的openldap服务器无法通信。所以一直重试。
1.1 请再次确定你2边的openldap服务器的389端口都开啦。然后把2边的openldap服务器的防火墙都给关掉测试先。
1.2 请使用正确的方式初始化bdb数据库，ldapadd -x -D "cn=xxxx,dc=xx.king,dc=com” -W –f  test.ldif (-x不要漏掉了)


如果没有ldap_sasl报-1错误啦，连接成功会显示如下图所示界面


已经陪你走下来了，剩下的小伙子就不难啦，仔细检查下。