Réplication d'annuaires

De Mediase3
Aller à : Navigation, rechercher
Retour chapitre en cours : XI. Architecture technique globale

Sommaire

A savoir avant de se lancer

Avant toute chose, il est souhaitable que vous fassiez une sauvegarde sous la forme d'une extraction LDIF de la base LDAP des deux annuaires. On ne sait jamais. Pour cela, utiliser la fonction d'exportation de l'annuaire avec l'interface web administrateur ou bien en ligne de commande faire en root sur la machine un

slapcat > /var/se3/save/ldap_du_jour.ldif
  • Il est obligatoire d'avoir une même baseDN sur l'annuaire du maître et de l'esclave. En fait, vous devriez avoir une base d'annuaire unique pour votre établissement. Par exemple, ou=RNE,ou=ac-académie,ou=education,o=gouv,c=fr, le RNE étant le numéro de votre établissement du type 0770000F.
  • Il est nécessaire d'utiliser un compte de réplication, le plus simple étant d'avoir le même entre vos différents serveurs : cn=admin.
  • Il est indispensable que vos deux serveurs soient à la même heure. Sur les Se3 à jour, une crontab assure la mise à l'heure toutes les nuits.
  • Lorsque vous mettez en place une réplication d'annuaires, les comptes doivent être créés, modifiés, supprimés sur le maître, afin de se répliquer sur l'esclave. Vous ne pouvez donc pas les créer, modifier, supprimer sur l'esclave, sinon les modifications ne seront pas sur le maitre, et vous vous retrouvez avec deux annuaires qui ne sont plus synchronisés.

Quand mettre en place la réplication ?

  • Le plus simple est de le faire au moment de l'installation du LCS. Il suffit pour cela de connecter le LCS à l'annuaire du se3 à l'aide du script dédié sur LCS. L'avantage étant que la machine que vous êtes en train d'installer va ajouter les entrées dont elle a besoin dans l'annuaire distant. Une fois l'installation terminée, l'annuaire est unique et commun aux deux serveurs.
  • Si vous souhaitez n'avoir qu'un seul annuaire, vous avez terminé. Vous pouvez créer les comptes depuis l'interface du serveur que vous voulez, puisque tous les deux pointent sur un seul et unique annuaire.
  • Si vous souhaitez mettre en place une réplication, c'est-à-dire un annuaire répliqué entre SE3 et LCS, il faut tout d'abord agir sur le SE3 qui sera le maître et le préciser dans l'interface puis sur le LCS en lui signifiant qu'il est esclave du SE3.
  • Si vous souhaitez mettre en place la réplication après l'installation des deux serveurs, cela est toujours possible. Il est nécessaire d'avoir une BaseDN identique entre les deux serveurs. Vous devez passer à l'étape Mettre en place la réplication. Toutefois cette opération peut se révéler plus délicate dans la mesure où certains comptes peuvent ne pas se créer sur l'autre serveur pour différentes raisons. Cela nécessite dans certain cas une intervention manuelle.

Mettre en place la réplication

Cette opération se fait depuis l'interface de Se3. Pour cela, vous devez aller dans Annuaire, puis Réplica LDAP. Vous obtenez alors le menu déroulant suivant :

Interf replica 1.png

Ou bien, si vous disposez d'un serveur Se3 à jour depuis la version 1.0 :

Annu replica 1.png

Vous disposez de 3 modes possibles :

Serveur non répliqué : Le mode par défaut. L'annuaire du SE3 est unique soit sur le SE3 lui même, soit déporté sur un autre serveur. Dans ce cas il n'y a aucune réplication.

Serveur LDAP principal (méthode syncrepl) : Cette méthode ne peut être utilisée qu'entre deux serveurs Se3 ou entre un se3 et un Lcs. L'annuaire maître se trouve sur le Se3.

Serveur LDAP secondaire (méthode syncrepl) : Il est important de bien sauvegarder avant d'utiliser cette option, car l'annuaire esclave est détruit. Il se reconstruit automatiquement à partir du serveur LDAP principal (méthode syncrepl). Il est donc indispensable de faire une sauvegarde avant. Lorsque vous sélectionnez "Serveur LDAP principal" ou "Serveur LDAP secondaire" un champ texte vous demande de rentrer l'adresse IP de l'autre serveur. Durant la phase de resynchronisation, vous allez perdre le contrôle de l'interface de votre serveur. Il faut patienter jusqu'à sa reconstruction à partir du maître.

Interf replica 2.png

Une fois l'adresse IP indiquée, cliquer sur "Modifier", vous obtenez alors :

Interf replica 3.png


Contrôler, mettre à jour la réplication

  • Comparer les deux annuaires

Cliquer sur cette option, pour bénéficier de l'état de la réplication. Cette option n'effectue aucune modification sur le serveur esclave, elle vous donne simplement les différences.


  • Ajouter les entrées manquantes et synchroniser les mots de passe

Cette option est à utiliser en sachant ce que vous faites. Les entrées se trouvant sur l'esclave vont être modifiées (mot de passe avec cette option). Cette option ajoute les entrées manquantes et synchronise les mots de passe.


  • Synchroniser la totalité des deux annuaires

Cette option synchronise les deux annuaires du maître vers l'esclave. Les entrées en trop dans l'esclave vont être détruites. Les entrées manquantes sont ajoutées. Les OU (unités organisationnelles) ne sont pas ajoutées, mais normalement vous ne devez pas en avoir en plus. Si vous avez déjà des entrées dans l'esclave que vous ne souhaitez pas perdre, vous devez en faire une extraction au format LDIF et les réintégrer dans le serveur maître.

Lorsque vous avez utilisez cette option, je vous conseille de refaire un contrôle pour vérifier que tout est correct.

Bien sûr, dans un comportement normal de votre réplication d'annuaires, cela n'est plus à faire. Mais pour diverses raisons, il peut y avoir une désynchronisation des deux annuaires. Il est alors utile de pouvoir reforcer la synchronisation.

Lire les résultats

Vous obtenez une interface du type


Interf replica 4.png


Ici, il parcourt l'ensemble des deux annuaires, et compare les OU. Il ne constate aucune différence.

Pour cette image, par contre, il constate des différences :


Interf replica 5.png

Vous pouvez lire les entrées en trop et les entrées manquantes dans l'annuaire esclave, ici en 172.16.0.100.

Si on cherche maintenant à synchroniser les annuaires (une image du maître sur l'esclave), voilà ce que cela va donner :


Interf replica 6.png


ERREUR est le message qu'il donne même si la suppression ou la création ont réussi. Par contre le OK indique que la création (souligné en rouge) a bien réussi.

Dans le cas où cela ne fonctionne pas, vous allez obtenir :


Interf replica 7.png

Remarque : Avec la méthode syncrepl, seul le contrôle a un sens, puisque cette méthode réplique les entrées même si vous avez mis en place la réplication après.

Outils personnels
Espaces de noms

Variantes
Actions
Navigation
Support
Téléchargements
Développement
Outils logiciels
Boîte à outils