Configurer les répliques Open Directory dans Mavericks Server

Une réplique d’Open Directory garde en mémoire une copie de la base de données Open Directory disponible pour les utilisateurs même si la base Maître est indisponible. Mais il peut aussi prendre une partie de la charge qui repose sur le Maître Open Directory, par exemple vous pouvez régler les répliques de manière à ce que la charge soit équilibrée entre plusieurs d’entre elles. Pour bien commencer avec les répliques d’Open Directory, il faut d’abord activer SSH qui est maintenant désactivé par défaut.

Ensuite, utilisez la commande changeip afin de vérifier le nom d’hôte. Même si l’application Server est assez calme, il lui arrive de mettre en cache des éléments que vous ne souhaitez pas ou ne pensez avoir en cache. Pour être sûr que le serveur a une adresse et un bon DNS, je vous recommande d’utiliser changeip :

sudo changeip -checkhostname

L’adresse et le nom d’hôte doivent s’afficher correctement et correspondre tel qu’indiqué ci-dessous :

Primary address = 10.0.0.1

Current HostName = odr.pretendco.lan
DNS HostName = pretendco.lan

The names match. There is nothing to change.

dirserv:success = “success”

Maintenant que nous savons que tout est en règle au sujet du hostname, nous allons utiliser la commande slapconfig pour prévoir ce que sera la réplique en production. La syntaxe est identique à la syntaxe de -createreplica, utilisée comme suit, nous allons partir du principe que l’adresse du serveur Maître est 172.16.2.23 :

/usr/sbin/slapconfig -preflightreplica 172.16.2.23 diradmin

Si le serveur est prêt, ouvrez l’application Server sur un MacMini nouvellement installé dont vous voulez faire une réplique.

Puis cliquez sur le Service Open Directory qui se trouve maintenant dans la rubrique Avancé

OpenDirectory

Puis, utilisez le bouton Activé pour commencer le processus de configuration. Quand on vous le demandera, cliquez sur « Rejoindre un domaine Open Directory en tant que réplique » et cliquez sur le bouton Suivant.Créez une réplique Open Directory

Quand on vous le demandera, entrez le nom du Serveur parent (le nom du Serveur Open Directory Maître), le nom de l’administrateur du répertoire ainsi que le mot de passe associé.

Crédits de la réplique

Puis cliquez sur le bouton Suivant à nouveau afin de configurer les services.

Quand vous voyez l’écran de confirmation, cliquez sur le bouton et la réplique est créée, partant du principe qu’il n’y a aucun problème lors de la configuration. Vérifier l’application Server sur la Réplique et sur le Maître et vérifiez que le serveur est afficher sous le Maître.

Réplique Open Directory crééeUne fois que votre première réplique est créée, vous pouvez commencer à définir vos arbres de répliques, où chaque réplique ressemble à celle au-dessus d’elle, et chacune regarde l’autre. Un autre article sur les arbres de répliques paraitra prochainement.

Notez : Si il apparaît un problème lors de la promotion de la réplique, je vous conseille de recommencer à zéro (c’est une règle de base en fait) en utilisant la commande slapconfig avec l’option -destroyldapserver pour effacer toute trace résiduelle dans OD :

sudo slapconfig -destroyldapserver

Utilisez les logs pour vous aider si vous avez des problèmes lors de la création des répliques. Vous pouvez les ajouter en utilisant l’option enableslapdlog :

slapconfig -anableslapdlog

Vous pouvez utiliser l’option -addreplica pour ajouter des répliques manuellement pendant que vous utiliserez tail pour les logs de slapd :

tail -f /var/log/slapd.log

Une fois que la réplique a été créée, vous pouvez en ajouter tant et plus jusqu’à 32. Arrivé à ce point, vous avez un large environnement Open Directory et si vous tentez d’ajouter une 33ème réplique vous aurez une amusante erreur que dserr ne liste pas. La raison est qu’un maître Open Directory ne peut avoir que 32 répliques. Vous pouvez donc avoir 32 répliques sur chaque réplique (un arbre de répliques) vous autorisant donc à un total de 1024 répliques et un maître. Aussi plutôt que de vouloir ajouter cette 33ème réplique, dirigez vous plutôt vers un arbre de répliques en essayant de répartir la charge géographiquement (et donc réduire le trafic sur vos liens WAN) en positionnant des répliques sur différents sites. De la même façon qu’on le fait pour des infrastructures Active Directory en répartissant les catalogues par site, si vous avez un grand nombre de répliques Open Directory je vous conseille de limiter le nombre qui connecte à chaque maître par site à 1.

Partant du principe qu’une réplique peut soutenir 350 clients dans un mauvais jour (et nous nous référons toujours aux mauvais jours), même le plus large déploiement de Mac OS X aura plein de serveur LDAP pour s’authentifier. Bien sûr vous pourrez avoir des problèmes comme un client cherchant à savoir quelle réplique attaquer. Vous utiliserez alors cn=config que vous configurerez par groupe ou vous utiliserez des règles avec ipfw afin d’aiguiller le trafic. Les arbres de répliques semblaient fonctionner assez bien avec Snow Leopard, permettant une infrastructure élaborée pour fournir des services LDAP.

Vous pouvez aussi être encore plus granulaire avec slurpd (le démon qui gère la réplication Open Directory) en invoquant slurpd avec l’option -d suivi par un nombre entre 4 et 65535, avec l’intensité de logs augmentant avec le nombre. Vous pouvez aussi utiliser l’option -r pour indiquer un fichier de log spécifique. Si vous avez plus de 32 répliques alors il appert que vous avez aussi un grand nombre d’objets dans Open Directory, un certain nombre de changements se produisent à ces objets et un certain nombre de processus de lecture/écriture vers et depuis les répliques. Dans le but de répartir la charge, vous pouvez déplacer votre répertoire temp de réplication vers un disque SSD, en spécifiant l’option -t quand vous invoquez slurpd.

la réplication slurpd se produit sur le port 389 (par défaut). Dans environnement étendu vous donnerez une priorité à ce trafic réseau. Si vous choisissez de personnaliser make/install slurpd alors vous aurez aussi besoin d’aller plus avant et de construire les principes Kerberos manuellement. Dans ce cas, vous obtiendrez un fichiers srvtab pour le serveur slurpd et vous configurerez slapd de manière à ce qu’il accepte l’authentification Kerberos pour les esclaves. Cela dit, je n’ai pas encore vu un environnement où j’ai à configurer sluprd de cette manière.

Cet article a paru sur Krypted de 318, le 22 octobre 2013.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

fr_FRFrançais