###基本介绍
LDAP是什么?
LDAP是轻量级目录访问协议,英文全称是Lightweight Directory Access Protocol,一般都简称为LDAP.
一般用来构建集中的身份验证系统可以减少管理成本,增强安全性,避免数据复制的问题,并提高数据的一致性。

ActiveDirectory是什么?
Active Directory存储了有关网络对象的信息,并且让管理员和用户能够轻松地查找和使用这些信息。Active Directory使用了一种结构化的数据存储方式,并以此作为基础对目录信息进行合乎逻辑的分层组织。
①基础网络服务:包括DNS、WINS、DHCP、证书服务等。


查看OpenLDAP版本,使用如下命令:

slapd -VV


##安装搭建
CentOS 7 简单搭建OpenLDAP服务
https://www.linuxprobe.com/centos7-openldap-service.html

yum -y install openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel migrationtools

一份比较全面openldap配置[重点参考]
[[Opendap安装配置案例-20181031]]
[openldap aiwaly.net配置主主]


###高可用方案实现
openldap2.4 的同步方式介绍

1、Syncrepl (全量模式):slave服务器用拉的方式同步master数据,使用该方法最大的缺陷在于:当你修改了一个Entry中的任何一个属性,那么该方法会把该条目下所有的属性都同步过来。

2、Delta-syncrepl(增量模式):比syncrepl多了一个基于日志的同步功能。每在master修改一条数据后,就会产生一个日志文件,salve通过master的日志进行相应的修改,这种方式克服了当修改条目中某个属性后要把整个条目都更新过来的缺点;

3、N-WAY Mutli-Master:多主Master方式同步LDAP信息

4、MirrorMode:該方式是服務器互相以推的方式同步用戶數據。MirrorMode只支持2個主MASTER(並不是說鏡像模式只能做2台LDAP,而是只有2個MASTER起作用可以推送數據出去,其他的LDAP服務器也會同步更新,只要把提供者指定到這2個MASTER任意一台即可),當你設定超過2台的時候,該模式只有最開始設定的那2台是MASTER,能主動互相推送數據。後面超過的如第三台LDAP3LDAP4時,這些自動全部變成單向同步,即只有那2個主MASTER修改用戶數據后可以同步到下面的第三台或第四台LDAP上, LDAP3LDAP4做任何動作都無法將數據同步到主master上。也不會同不到其他LDAP服務器上,有點類似老版本slurp的效果。

5.Syncrepl Proxy:代理同步。將保留用戶信息的MASTER主機隱藏起來,而代理機上面的LDAP通過SyncreplMASTER主機以拉的方式同步maser用戶數據,當代理主機發生改變時,代理主機的LDAP又以推的方式將數據更新到更下層的slave LDAP服務器上。而slave LDAP是沒有權限去更改代理服務為那台LDAP用戶信息,只有讀取權限,什麽,這種情況類似老版本的slurp單向同步功能,並且和老版本slurp一樣可以建立一個快捷方式(這個快捷方式不保留任何數據,數據全部保留在你去指定的那台LDAP服務器上,只是說你可以通過這個快捷方式在slave LDAP服務器上也可以修改數據。該快捷方式具體應用可以去查看RPM包方式當中安裝方法里有說明。)

openldap mirrorMode主主实现高可用性
http://www.ttlsa.com/database/openldap-mirrormode-cluster/

##结构体系
【LDAP】关于LDAP的objectClass及Attribute
https://www.2cto.com/kf/201709/678679.html


###运维经验与问题排查
LDAP常见错误码
http://blog.sina.com.cn/s/blog_70328f460101ly1i.html
LDAP目录服务折腾之后的总结
https://www.cnblogs.com/wadeyu/p/ldap-search-summary.html


##OpenLDAP GUI管理工具
GUI管理工具–Apache Directory Studio
http://directory.apache.org/studio/downloads.html
完全开源且跨平台的客户端管理工具,支持linux,windows,OS X,依赖jre7
以OS X平台为例
wget http://apache.fayea.com/directory/studio/2.0.0.v20151221-M10/ApacheDirectoryStudio-2.0.0.v20151221-M10-macosx.cocoa.x86_64.tar.gz
下载并安装windows客户端软件Softerra LDAP Administrator

文档更新时间: 2019-07-09 10:59   作者:月影鹏鹏