Semana 4Linux - Dicas de operação e manutenção de um servidor OpenLDAP

Colaboração: Francisco Kem-iti Saito

Data de Publicação: 31 de Agosto de 2005

O servidor OpenLDAP é fundamental para instalações de grande porte de servidores Linux. O correto uso e correta configuração permitem um grau de gerenciabilidade muito grande e garantem horas extras de descanso e paz ao administrador de redes.

Para quem tem um servidor OpenLDAP, saber onde estão os arquivos de configuração e dados é fundamental.

A sequência a seguir mostra onde estão os arquivos principais. Mostra além disso, procedimentos comuns de cópia de segurança e restauração, além de monitoramento de atividades.

Cópia da configuração:

Arquivos de configuração principais:

Para Debian:

  /etc/ldap/ldap.conf
  /etc/ldap/slapd.conf

Para Red Hat:

  /etc/openldap/ldap.conf
  /etc/openldap/slapd.conf

Recomenda-se a cópia da pasta de configurações /etc/ldap ou /etc/openldap inteira.

Além disso os arquivos /etc/nsswitch.conf, /etc/hosts e as pastas /etc/pam.d (para autenticação de estações Linux), /etc/samba e /etc/smldap-tools(para SAMBA) são fundamentais na infraestrutura baseada em OpenLDAP.

Arquivos de dados:

Debian e Red Hat:

  /var/lib/ldap

Cópia de dados:

Para cópia direta dos arquivos da base de dados o servidor OpenLDAP precisa ser desligado: Pare o servidor OpenLDAP:

Debian:

  /etc/init.d/slapd stop

Red Hat:

  service ldap stop

Copie a base:

  tar zcvf arquivodebackup caminhodabase 

De forma alternativa, a cópia da base pode ser feita usando o comando slapcat, neste caso, o servidor OpenLDAP não precisa ser desligado. É a forma mais recomendada para uso em scripts de execução periódica:

  slapcat -l arquivodebackup.ldif

NOTA: Os comandos slapcat e slapadd são de uso exclusivo do super-usuário root.

Restauração:

Para cópia direta dos arquivos da base de dados, o servidor OpenLDAP deve ser desligado, o procedimento abaixo cria uma cópia intermediária dos dados atuais antes da efetiva utilização dos dados contidos na cópia de segurança:

Pare o serviço OpenLDAP

Debian

  /etc/init.d/slapd stop

Red Hat

  service ldap stop

Mova os dados da pasta de base de dados atual para um local seguro.

  mkdir /root/ldap.problematico
  mv /var/lib/ldap/*  /root/ldap.problematico

Retorne os dados do último backup, por exemplo:

  tar zxvf ultimobackup

Por slapadd:

  slapadd -c -l /BACKUP/arquivodebackup.ldif

Inicie o serviço OpenLDAP

Debian

  /etc/init.d/slapd start

Red Hat

  service ldap start

Nível de log:

O registro de atividades é essencial para depuração de problemas. O servidor OpenLDAP pode ser configurado para registrar os eventos de forma bastante seletiva. Um exemplo é registrar apenas o uso de listas de controle de acesso do OpenLDAP(nível 128), bastante útil para depurar erros de de acesso. Consulte man slapd.conf para maiores detalhes.

Adicionando o log do openldap no syslog.conf

Por padrão, o registro de atividades do OpenLDAP é feito usando a facilidade local4. Devemos então configurar o serviço de registro de atividades (syslog) para criar e registrar eventos relacionados ao OpenLDAP no arquivo /var/log/ldap.log.

Edite o arquivo de configuração do servidor de registro de atividades:

  vi /etc/syslog.conf

Insira a linha:

  local4.* /var/log/ldap.log

Reinicie o serviço:

Debian

  /etc/init.d/sysklogd restart

Red Hat

  service syslog restart

Alterando o nível de log no slapd.conf

Para diagnosticar possíveis problemas no OpenLDAP, mude o nível de log do slapd para -1 (TOTAL, muito prolixo)

Insira a linha

  loglevel -1

No arquivo de configuração slapd.conf.

Reinicie o servidor OpenLDAP:

Debian

  /etc/init.d/slapd restart

Red Hat

  service ldap restart

A atividade do servidor OpenLDAP pode então ser monitorada com o comando:

  tail -f /var/log/ldap.log

Iniciando o servidor OpenLDAP em modo de depuração

Uma maneira alternativa é iniciar o servidor OpenLDAP manualmente em modo de depuração:

Pare os serviços de diretório:

Debian:

  /etc/init.d/slapd stop

Red Hat:

  service ldap stop

Inicie o serviço em modo de depuração:

  slapd -d -1

---

Quer aprender como integrar as principais Serviços de rede utilizando o OpenLDAP como base única de autenticação?

Novidade: OpenLDAP- Implementando Servidor de Autenticação Centralizada O curso vai além da implementação em laboratório. Foram incluídos tópicos pensando na realidade do dia a dia do administrador, como: a importância dos níveis de logs do OpenLDAP, como lidar com bases de dados com problemas e como recuperá-las. Ou seja, a proposta do curso é preparar o aluno para situações reais.

Saiba mais no site http://www.4linux.com.br/treinamento/openldap_417.php ou ligue para (11) 2125-4747

Veja a relação completa dos artigos de Francisco Kem-iti Saito

Referências Adicionais

Referências adicionais sobre os assuntos abordados neste site podem ser encontradas em nossa Bibliografia.

Avalie esta dica

Recomendar este artigo	Versão para impressão

---