应用Linux上的OpenLDAP集群

Linux服务器具有低成本、性能卓越、代码开放等特性。越来越多的企业正在准备或已经采用Linux担起了企业应用服务器的重任。本文要介绍的是笔者在实际工作中，采用Linux和其它开放套件共同部署高可靠性LDAP认证服务的实例。

系统所要用到的软件包括：

◆ Red Hat 7.2；

◆ OpenLDAP 2.1，www.openldap.org；

◆ Heartbeat 1.04，www.linux-ha.org。

合理的流程提供高可靠性

OpenLDAP在该系统的网络应用体系中用于对所有应用提供统一的身份认证服务，还包括如邮件路由、地址、联系人信息等其它信息的查询。LDAP作为一种特殊的数据库，通过对读取、查询操作进行特别的优化和处理，以保证在查询速度方面的优势，所以特别适合用来统一企业的各种认证服务，从而规范各种业务系统的同一登录身份和口令。当然，它的缺点和优点一样明显，比如不善于update、insert等操作，但是如果把它作为中央认证数据库，则正好可以利用它的长处而回避它的弱点。

由于系统采用了LDAP作为所有应用的中央认证数据库，一旦该LDAP服务器失效，则系统网络环境中所有依赖于该数据库的应用都会受到影响，甚至停止提供相应的服务。为了避免这种情况的发生，就要通过两台LDAP服务器建立一个高可靠性的认证数据库集群，同时对其它应用系统提供统一的数据库访问网络接口。系统网络结构图如图1。





图1 系统网络结构图


从图1可以看到，整个系统分为三层：应用服务器、数据库中间引擎和OpenLDAP数据库集群。所有的应用服务器通过数据库中间引擎（midd）来访问192.168.1.200，并通过这一统一的数据库网络接口来访问LDAP数据库。对于系统的要求是，正常情况下master服务器（192.168.1.100）绑定在192.168.1.200上提供服务，slave服务器处于备机状态，一旦master发生故障，slave 能够自动接管任务，同时通过某种通信方式通知系统管理员（如邮件、手机短信）。

这里，midd数据库中间引擎是根据需要编写的一个简单工具，使用它要达到以下几个目的：

◆ 统一应用服务器上的应用程序访问各种数据库的接口。例如，以后有可能将后台的LDAP数据库换为其它数据库，如Oracle等，这时只需要更改midd的配置文件，而不需要对应用程序进行任何更改。

◆ 通过采用进程池的方式来提供应用程序的查询速度。midd能通过对前端应用程序的访问负载，自动调节进程池的进程数量。同时进程池中的每个进程和后台的LDAP数据库保持一个长连接，这样可以避免一般条件下每次查询都要开一个连接的资源浪费和延时。

◆ 每个应用服务器上都部署一个midd。这样应用程序每次请求的时候都是通过本地IPC与midd进行通信，避免了TCP方式连接的开销。

◆ midd在两台LDAP数据库active-active模式下的应用模式。midd根据启动时的参数能够自动区别读、写请求，会将写请求分配到 Master LDAP数据库上，这是由于Slave LDAP数据库只能进行读操作。在整个网络负载大、两台LDAP数据库同时提供服务的情况下，使用midd的这一模式，可以避免Slave LDAP数据库不能更改数据导致两台服务器不能保持数据同步的问题。

根据以上流程的要求，系统必须解决两个问题，首先是由于作为LDAP数据库的两台服务器并没有实现存储共享，因此要求 master和slave两台数据库服务器的数据必须实时同步，才能保证一旦slave接管任务后能够提供完整的服务。其次，master和slave必须能够实时检测对方的健康状态，一旦发现对方有故障，自己能够接管各种任务，包括切换虚拟IP地址、LDAP服务（变为主LDAP服务，意味着其能对写进行操作，从而要求master服务器恢复后必须先和slave进行一次数据同步），以及通过rsh方式来执行其它远程应用服务器上的midd启动模式（在 active-active模式下）。

下面就将解决以上数据同步和任务接管两个问题。

主、从LDAP服务器的数据同步

OpenLDAP本身提供了一种复制机制来保证网络上主、从节点之间的数据同步。slurpd守护程序实现了这一功能，它通过定期活动检查主服务器master上的日志文件，检查master上的数据是否有更新。如果有更新，那么把更新的数据传递到各个从服务器。读（查询）请求可以由LDAP数据群中的任一服务器应答，但写操作（update、insert）只能在主服务器master上进行，这就是为什么midd数据库中间引擎必须采用不同的启动模式来处理读写的原因。

下面主要说明主、从LDAP服务器的配置过程。有关OpenLDAP的安装过程可以查看http://www.openldap.org上的安装文档，本文不再赘述。将OpenLDAP安装到两台服务器上，并对它们分别进行主、从配置。

1．主LDAP服务器（master）上的配置文件如下，这是一个简单的配置例子。

配置文件名：slapd.conf

文件内容：

QUOTE: linux 服务器 写下你的评论吧 ! 吐个槽吧,看都看了 会员登录 | 用户注册 推荐阅读 port Python高级之网络编程及TCP/IP协议簇的OSI七层模型介绍 本文介绍了Python高级网络编程及TCP/IP协议簇的OSI七层模型。首先简单介绍了七层模型的各层及其封装解封装过程。然后讨论了程序开发中涉及到的网络通信内容，主要包括TCP协议、UDP协议和IPV4协议。最后还介绍了socket编程、聊天socket实现、远程执行命令、上传文件、socketserver及其源码分析等相关内容。 ... [详细] 蜡笔小新   2023-12-14 18:16:27 ssh Linux服务器密码过期策略、登录次数限制、私钥登录等配置方法 本文介绍了在Linux服务器上进行密码过期策略、登录次数限制、私钥登录等配置的方法。通过修改配置文件中的参数，可以设置密码的有效期、最小间隔时间、最小长度，并在密码过期前进行提示。同时还介绍了如何进行公钥登录和修改默认账户用户名的操作。详细步骤和注意事项可参考本文内容。 ... [详细] 蜡笔小新   2023-12-14 17:57:01 dns rhel5.5搭建网关+LAMP+postfix+dhcp的步骤和配置方法 本文介绍了在rhel5.5操作系统下搭建网关+LAMP+postfix+dhcp的步骤和配置方法。通过配置dhcp自动分配ip、实现外网访问公司网站、内网收发邮件、内网上网以及SNAT转换等功能。详细介绍了安装dhcp和配置相关文件的步骤，并提供了相关的命令和配置示例。 ... [详细] 蜡笔小新   2023-12-14 17:13:20 ssh Centos7.6安装Gitlab教程及注意事项 本文介绍了在Centos7.6系统下安装Gitlab的详细教程，并提供了一些注意事项。教程包括查看系统版本、安装必要的软件包、配置防火墙等步骤。同时，还强调了使用阿里云服务器时的特殊配置需求，以及建议至少4GB的可用RAM来运行GitLab。 ... [详细] 蜡笔小新   2023-12-14 14:01:06 tomcat Hibernate配置lazy=false时无法加载数据的问题解决方法 本文介绍了在Hibernate配置lazy=false时无法加载数据的问题，通过采用OpenSessionInView模式和修改数据库服务器版本解决了该问题。详细描述了问题的出现和解决过程，包括运行环境和数据库的配置信息。 ... [详细] 蜡笔小新   2023-12-14 13:59:45 grep Skywalking系列博客1安装单机版 Skywalking的快速安装方法 本文介绍了如何快速安装单机版的Skywalking，包括下载、环境需求和端口检查等步骤。同时提供了百度盘下载地址和查询端口是否被占用的命令。 ... [详细] 蜡笔小新   2023-12-14 19:05:47 grep AJAX的POST请求及实现数据修改功能的方法 本文介绍了使用AJAX的POST请求实现数据修改功能的方法。通过ajax-post技术，可以实现在输入某个id后，通过ajax技术调用post.jsp修改具有该id记录的姓名的值。文章还提到了AJAX的概念和作用，以及使用async参数和open()方法的注意事项。同时强调了不推荐使用async=false的情况，并解释了JavaScript等待服务器响应的机制。 ... [详细] 蜡笔小新   2023-12-14 16:12:01 grep 如何限制php数据库链接数和连接超时时间？ 本文介绍了如何使用php限制数据库插入的条数并显示每次插入数据库之间的数据数目，以及避免重复提交的方法。同时还介绍了如何限制某一个数据库用户的并发连接数，以及设置数据库的连接数和连接超时时间的方法。最后提供了一些关于浏览器在线用户数和数据库连接数量比例的参考值。 ... [详细] 蜡笔小新   2023-12-14 14:06:10 service 如何使用Java获取服务器硬件信息和磁盘负载率 本文介绍了使用Java编程语言获取服务器硬件信息和磁盘负载率的方法。首先在远程服务器上搭建一个支持服务端语言的HTTP服务，并获取服务器的磁盘信息，并将结果输出。然后在本地使用JS编写一个AJAX脚本，远程请求服务端的程序，得到结果并展示给用户。其中还介绍了如何提取硬盘序列号的方法。 ... [详细] 蜡笔小新   2023-12-14 13:56:20 port 如何找到并终止在8080端口上运行的进程？ 本文介绍了如何找到并终止在8080端口上运行的进程的方法，通过使用终端命令lsof -i :8080可以获取在该端口上运行的所有进程的输出，并使用kill命令终止指定进程的运行。 ... [详细] 蜡笔小新   2023-12-14 13:45:13 port 禁止程序接收鼠标事件的工具_VNC Viewer for Mac(远程桌面工具)免费版 VNCViewerforMac是一款运行在Mac平台上的远程桌面工具，vncviewermac版可以帮助您使用Mac的键盘和鼠标来控制远程计算机，操作简 ... [详细] 蜡笔小新   2023-12-14 12:55:15 port 云服务器API接口的入门使用及功能解析 本文详细介绍了云服务器API接口的概念和作用，以及如何使用API接口管理云上资源和开发应用程序。通过创建实例API、调整实例配置API、关闭实例API和退还实例API等功能，可以实现云服务器的创建、配置修改和销毁等操作。对于想要学习云服务器API接口的人来说，本文提供了详细的入门指南和使用方法。如果想进一步了解相关知识或阅读更多相关文章，请关注编程笔记行业资讯频道。 ... [详细] 蜡笔小新   2023-12-14 12:43:39 容器 阿里云物联网 .NET Core 客户端 | CZGL.AliIoTClient：4. 设备上报属性 阿,里,云,物,联网,net,core,客户端,czgl,aliiotclient, ... [详细] 蜡笔小新   2023-12-14 12:40:20 容器 [译]技术公司十年经验的职场生涯回顾 本文是一位在技术公司工作十年的职场人士对自己职业生涯的总结回顾。她的职业规划与众不同，令人深思又有趣。其中涉及到的内容有机器学习、创新创业以及引用了女性主义者在TED演讲中的部分讲义。文章表达了对职业生涯的愿望和希望，认为人类有能力不断改善自己。 ... [详细] 蜡笔小新   2023-12-14 11:31:05 ubuntu 如何基于ggplot2构建相关系数矩阵热图以及一个友情故事 本文介绍了如何在rstudio中安装ggplot2，并使用ggplot2构建相关系数矩阵热图。同时，通过一个友情故事，讲述了真爱难觅的故事背后的数据量化和皮尔逊相关系数的概念。故事中的小伙伴们在本科时参加各种考试，其中有些沉迷网络游戏，有些热爱体育，通过他们的故事，展示了不同兴趣和特长对学习和成绩的影响。 ... [详细] 蜡笔小新   2023-12-14 10:47:00 最低调的鹌鹑 这个家伙很懒，什么也没留下！ Tags | 热门标签 容器 ubuntu 负载均衡 tomcat touch 4层 devops fabric sudo kubectl crontab curl colors port zsh 7层 stdout dns grep vagrant 压力测试 log4j service jenkins ftp ssh awk 运维 k8s sftp RankList | 热门文章 1Android PickerView滚动选择器的使用方法 2Android编程获取SD卡路径及剩余容量的方法 3Android中使用Matrix控制图形变换和制作倒影效果的方法 4PagerSlidingTabStrip制作Android带标签的多界面滑动切换 5Android时间选择器、日期选择器实现代码 6Android组合控件实现功能强大的自定义控件 7Android RecyclerView添加头部和底部的方法 8Android xml实现animation的4种动画效果实例代码 9Android使用控件ImageView加载图片的方法 10简析Android五大布局（LinearLayout、FrameLayout、RelativeLayout等） 11Android利用Intent实现读取图片操作 12Android实现彩信附件的添加与删除功能 13Android 按指定大小读取图片的实例 14Android中区别Drawable Bitmap Canvas Paint 15Android 屏蔽和捕获Home键的示例代码 PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具 Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有