4.3.1.2.2.2.1. Однонаправленное резервирование
Прежде чем перейти к настройкам резервирования:
1. Убедитесь, что типы баз данных всех серверов – «mdb», с помощью команды:
sudo slapcat -n0
|
Если тип БД отличается, то во всех дальнейших командах нужно заменить mdb на текущий тип БД.
|
2. Сделайте бэкап конфигурации и БД сервера-поставщика в текущей папке с помощью команды:
cd /opt/AstraRegul/Astra.Security
sudo sh ./openldap-conf-and-data-backup.sh
|
Для восстановления конфигурации и БД OpenLDAP в случае ошибок резервирования, выполните команды:
cd /opt/AstraRegul/Astra.Security
sudo sh ./openldap-conf-and-data-restore.sh
|
Чтобы настроить однонаправленное резервирование:
1. Определите, какой из LDAP-серверов будет поставщиком, а какие – приемниками.
2. Настройте сервера-приемники:
Описанные в пункте действия выполните на каждом из серверов-приемников.
|
2.1. Ознакомьтесь с файлом openldap-enable-syncrepl-consumer.ldif, устанавливаемым в составе Astra.Security:
dn: olcDatabase={1}mdb,cn=config
changetype: modify
#delete: olcSyncrepl
add: olcSyncrepl
olcSyncrepl:
rid=001
provider=ldap://192.168.56.1
binddn="cn=admin,dc=maxcrc,dc=com"
bindmethod=simple
credentials="secret"
searchbase="dc=maxcrc,dc=com"
type=refreshAndPersist
timeout=0
network-timeout=0
retry="60 +"
dn: olcDatabase={1}mdb,cn=config
changetype: modify
#delete: olcUpdateRef
add: olcUpdateRef
olcUpdateRef: ldap://192.168.56.1
|
Отступ в каждой строке внутри конструкции olcSyncRepl обязательно должен содержать по два пробела.
|
2.2. Измените следующие строки:
«dn: olcDatabase={1}mdb,cn=config» – замените «mdb» на текущий тип БД, если он отличается;
«provider=ldap://192.168.56.1» – замените значение по умолчанию «192.168.56.1» на адрес сервера-поставщика данных;
«credentials="secret"» – если меняли пароль администратора OpenLDAP, замените «secret» на актуальное значение;
«olcUpdateRef: ldap://192.168.56.1» – замените значение по умолчанию «192.168.56.1» на адрес сервера-поставщика данных;
«binddn="cn=admin,dc=maxcrc,dc=com"» – замените на «binddn="cn=admin,dc=nodomain"», если не выполняли переименование домена;
«searchbase="dc=maxcrc,dc=com"» – замените на «searchbase="dc=nodomain"», если не выполняли переименование домена.
В файлах .ldif порядок и количество пробелов имеют важное значение.
|
2.3. Для применения внесенных изменений выполните команды:
cd /opt/AstraRegul/Astra.Security
sudo sh ./openldap-enable-syncrepl-consumer.sh
|
2.4. Перезапустите службу OpenLDAP Service:
sudo systemctl restart slapd
|
3. Настройте сервер-поставщик:
3.1. Ознакомьтесь с файлом openldap-enable-syncrepl-provider.ldif, устанавливаемым в составе Astra.Security:
dn: cn=module{0},cn=config
changetype: modify
add: olcModuleLoad
olcModuleLoad: syncprov.la
dn: olcOverlay=syncprov,olcDatabase={1}mdb,cn=config
changetype: add
objectClass: olcOverlayConfig
objectClass: olcSyncProvConfig
olcOverlay: syncprov
olcSpNoPresent: TRUE
olcSpCheckpoint: 100 10
olcSpSessionlog: 100
dn: olcDatabase={1}mdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: entryCSN eq
-
add: olcDbIndex
olcDbIndex: entryUUID eq
|
3.2. Замените «mdb» на текущий тип БД, если он отличается, в строках:
«dn: olcOverlay=syncprov,olcDatabase={1}mdb,cn=config»;
«dn: olcDatabase={1}mdb,cn=config»,
3.3. Для применения внесенных изменений выполните команды:
cd /opt/AstraRegul/Astra.Security
sudo sh ./openldap-enable-syncrepl-provider.sh
|
3.4. Перезапустите службу OpenLDAP Service:
sudo systemctl restart slapd
|
4. Настройте Агент Astra.Security:
4.1. Перейдите к файлу конфигурации astra.security.agent.xml, расположенному по следующему пути:
/opt/AstraRegul/Astra.Security
|
4.2 Добавьте в секцию тега <LdapHosts> строки с IP-адресами и портами всех резервируемых серверов:
<LdapHosts>
<LDAPServer Address="127.0.0.1" Port="389"/>
<LDAPServer Address="172.16.13.167" Port="389"/>
</LdapHosts>
|
4.3. Перезапустите службу:
sudo systemctl restart astra.security.service
|