{"id":2071,"date":"2013-11-06T11:16:44","date_gmt":"2013-11-06T10:16:44","guid":{"rendered":"http:\/\/www.nausicamedia.fr\/blog\/?p=2071"},"modified":"2013-11-06T11:16:44","modified_gmt":"2013-11-06T10:16:44","slug":"replique-open-directory-mavericks","status":"publish","type":"post","link":"https:\/\/nausicamedia.fr\/blog\/replique-open-directory-mavericks\/","title":{"rendered":"Configurer les r\u00e9pliques Open Directory dans Mavericks Server"},"content":{"rendered":"

Une r\u00e9plique d’Open Directory garde en m\u00e9moire une copie de la base de donn\u00e9es Open Directory disponible pour les utilisateurs m\u00eame si la base Ma\u00eetre est indisponible. Mais il peut aussi prendre une partie de la charge qui repose sur le Ma\u00eetre Open Directory, par exemple vous pouvez r\u00e9gler les r\u00e9pliques de mani\u00e8re \u00e0 ce que la charge soit \u00e9quilibr\u00e9e entre plusieurs d’entre elles. Pour bien commencer avec les r\u00e9pliques d’Open Directory, il faut d’abord activer SSH qui est maintenant d\u00e9sactiv\u00e9 par d\u00e9faut.<\/p>\n

Ensuite, utilisez la commande changeip afin de v\u00e9rifier le nom d’h\u00f4te. M\u00eame si l’application Server est assez calme, il lui arrive de mettre en cache des \u00e9l\u00e9ments que vous ne souhaitez pas ou ne pensez avoir en cache. Pour \u00eatre s\u00fbr que le serveur a une adresse et un bon DNS, je vous recommande d’utiliser changeip :<\/p>\n

\n

sudo changeip -checkhostname<\/p>\n<\/blockquote>\n

L’adresse et le nom d’h\u00f4te doivent s’afficher correctement et correspondre tel qu’indiqu\u00e9 ci-dessous :<\/p>\n

\n

Primary address = 10.0.0.1<\/p>\n

Current HostName = odr.pretendco.lan
\nDNS HostName = pretendco.lan<\/p>\n

The names match. There is nothing to change.<\/p>\n

dirserv:success = \u201csuccess\u201d<\/p>\n<\/blockquote>\n

Maintenant que nous savons que tout est en r\u00e8gle au sujet du hostname, nous allons utiliser la commande slapconfig pour pr\u00e9voir ce que sera la r\u00e9plique en production. La syntaxe est identique \u00e0 la syntaxe de -createreplica, utilis\u00e9e comme suit, nous allons partir du principe que l’adresse du serveur Ma\u00eetre est 172.16.2.23 :<\/p>\n

\n

\/usr\/sbin\/slapconfig -preflightreplica 172.16.2.23 diradmin<\/p>\n<\/blockquote>\n

Si le serveur est pr\u00eat, ouvrez l’application Server sur un MacMini nouvellement install\u00e9 dont vous voulez faire une r\u00e9plique.<\/p>\n

Puis cliquez sur le Service Open Directory qui se trouve maintenant dans la rubrique Avanc\u00e9<\/p>\n

\"OpenDirectory\"<\/p>\n

Puis, utilisez le bouton Activ\u00e9 pour commencer le processus de configuration. Quand on vous le demandera, cliquez sur \u00ab\u00a0Rejoindre un domaine Open Directory en tant que r\u00e9plique\u00a0\u00bb et cliquez sur le bouton Suivant.\"Cr\u00e9ez<\/p>\n

Quand on vous le demandera, entrez le nom du Serveur parent (le nom du Serveur Open Directory Ma\u00eetre), le nom de l’administrateur du r\u00e9pertoire ainsi que le mot de passe associ\u00e9.<\/p>\n

\"Cr\u00e9dits<\/p>\n

Puis cliquez sur le bouton Suivant \u00e0 nouveau afin de configurer les services.<\/p>\n

Quand vous voyez l’\u00e9cran de confirmation, cliquez sur le bouton et la r\u00e9plique est cr\u00e9\u00e9e, partant du principe qu’il n’y a aucun probl\u00e8me lors de la configuration. V\u00e9rifier l’application Server sur la R\u00e9plique et sur le Ma\u00eetre et v\u00e9rifiez que le serveur est afficher sous le Ma\u00eetre.<\/p>\n

\"R\u00e9pliqueUne fois que votre premi\u00e8re r\u00e9plique est cr\u00e9\u00e9e, vous pouvez commencer \u00e0 d\u00e9finir vos arbres de r\u00e9pliques, o\u00f9 chaque r\u00e9plique ressemble \u00e0 celle au-dessus d’elle, et chacune regarde l’autre. Un autre article sur les arbres de r\u00e9pliques paraitra prochainement.<\/p>\n

\n

Notez : Si il appara\u00eet un probl\u00e8me lors de la promotion de la r\u00e9plique, je vous conseille de recommencer \u00e0 z\u00e9ro (c’est une r\u00e8gle de base en fait) en utilisant la commande slapconfig avec l’option -destroyldapserver pour effacer toute trace r\u00e9siduelle dans OD :<\/p>\n

sudo slapconfig -destroyldapserver<\/p>\n

Utilisez les logs pour vous aider si vous avez des probl\u00e8mes lors de la cr\u00e9ation des r\u00e9pliques. Vous pouvez les ajouter en utilisant l’option enableslapdlog :<\/p>\n

slapconfig -anableslapdlog<\/p>\n

Vous pouvez utiliser l’option -addreplica pour ajouter des r\u00e9pliques manuellement pendant que vous utiliserez tail pour les logs de slapd :<\/p>\n

tail -f \/var\/log\/slapd.log<\/p>\n<\/blockquote>\n

Une fois que la r\u00e9plique a \u00e9t\u00e9 cr\u00e9\u00e9e, vous pouvez en ajouter tant et plus jusqu’\u00e0 32. Arriv\u00e9 \u00e0 ce point, vous avez un large environnement Open Directory et si vous tentez d’ajouter une 33\u00e8me r\u00e9plique vous aurez une amusante erreur que dserr ne liste pas. La raison est qu’un ma\u00eetre Open Directory ne peut avoir que 32 r\u00e9pliques. Vous pouvez donc avoir 32 r\u00e9pliques sur chaque r\u00e9plique (un arbre de r\u00e9pliques) vous autorisant donc \u00e0 un total de 1024 r\u00e9pliques et un ma\u00eetre. Aussi plut\u00f4t que de vouloir ajouter cette 33\u00e8me r\u00e9plique, dirigez vous plut\u00f4t vers un arbre de r\u00e9pliques en essayant de r\u00e9partir la charge g\u00e9ographiquement (et donc r\u00e9duire le trafic sur vos liens WAN) en positionnant des r\u00e9pliques sur diff\u00e9rents sites. De la m\u00eame fa\u00e7on qu’on le fait pour des infrastructures Active Directory en r\u00e9partissant les catalogues par site, si vous avez un grand nombre de r\u00e9pliques Open Directory je vous conseille de limiter le nombre qui connecte \u00e0 chaque ma\u00eetre par site \u00e0 1.<\/p>\n

Partant du principe qu’une r\u00e9plique peut soutenir 350 clients dans un mauvais jour (et nous nous r\u00e9f\u00e9rons toujours aux mauvais jours), m\u00eame le plus large d\u00e9ploiement de Mac OS X aura plein de serveur LDAP pour s’authentifier. Bien s\u00fbr vous pourrez avoir des probl\u00e8mes comme un client cherchant \u00e0 savoir quelle r\u00e9plique attaquer. Vous utiliserez alors cn=config que vous configurerez par groupe ou vous utiliserez des r\u00e8gles avec ipfw afin d’aiguiller le trafic. Les arbres de r\u00e9pliques semblaient fonctionner assez bien avec Snow Leopard, permettant une infrastructure \u00e9labor\u00e9e pour fournir des services LDAP.<\/p>\n

Vous pouvez aussi \u00eatre encore plus granulaire avec slurpd (le d\u00e9mon qui g\u00e8re la r\u00e9plication Open Directory) en invoquant slurpd avec l’option -d suivi par un nombre entre 4 et 65535, avec l’intensit\u00e9 de logs augmentant avec le nombre. Vous pouvez aussi utiliser l’option -r pour indiquer un fichier de log sp\u00e9cifique. Si vous avez plus de 32 r\u00e9pliques alors il appert que vous avez aussi un grand nombre d’objets dans Open Directory, un certain nombre de changements se produisent \u00e0 ces objets et un certain nombre de processus de lecture\/\u00e9criture vers et depuis les r\u00e9pliques. Dans le but de r\u00e9partir la charge, vous pouvez d\u00e9placer votre r\u00e9pertoire temp de r\u00e9plication vers un disque SSD, en sp\u00e9cifiant l’option -t quand vous invoquez slurpd.<\/p>\n

la r\u00e9plication slurpd se produit sur le port 389 (par d\u00e9faut). Dans environnement \u00e9tendu vous donnerez une priorit\u00e9 \u00e0 ce trafic r\u00e9seau. Si vous choisissez de personnaliser make\/install slurpd alors vous aurez aussi besoin d’aller plus avant et de construire les principes Kerberos manuellement. Dans ce cas, vous obtiendrez un fichiers srvtab pour le serveur slurpd et vous configurerez slapd de mani\u00e8re \u00e0 ce qu’il accepte l’authentification Kerberos pour les esclaves. Cela dit, je n’ai pas encore vu un environnement o\u00f9 j’ai \u00e0 configurer sluprd de cette mani\u00e8re.<\/p>\n

Cet article a paru sur\u00a0Krypted\u00a0<\/a>de 318, le 22 octobre 2013.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Une r\u00e9plique d’Open Directory garde en m\u00e9moire une copie de la base de donn\u00e9es Open Directory disponible pour les utilisateurs m\u00eame si la base Ma\u00eetre est indisponible. Mais il peut aussi prendre une partie de la charge qui repose sur le Ma\u00eetre Open Directory, par exemple vous pouvez r\u00e9gler les r\u00e9pliques de mani\u00e8re \u00e0 ce […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[2],"tags":[21,47,51],"class_list":["post-2071","post","type-post","status-publish","format-standard","hentry","category-solution-apple","tag-charles-edge","tag-mavericks","tag-open-directory"],"blocksy_meta":{"styles_descriptor":{"styles":{"desktop":"","tablet":"","mobile":""},"google_fonts":[],"version":6}},"jetpack_publicize_connections":[],"_links":{"self":[{"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/posts\/2071","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/comments?post=2071"}],"version-history":[{"count":0,"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/posts\/2071\/revisions"}],"wp:attachment":[{"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/media?parent=2071"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/categories?post=2071"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nausicamedia.fr\/blog\/wp-json\/wp\/v2\/tags?post=2071"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}