从OSX OpenDirectory复制到OpenLDAP

Question

我有一个运行在OSX机器上的OpenDirectory服务器，我希望通过有一个从服务器来提高服务的可靠性。问题是，我只有一个OSX服务器，但我有大量的Linux服务器可用。我对苹果与OpenDirectory集成的工具感到高兴，但鉴于苹果最近停止使用XServe，我对继续使用苹果硬件并不感兴趣。

我记得听说OpenDirectory是基于OpenLDAP代码库的(现在是远程的)；有什么方法可以从OpenDirectory复制到OpenLDAP，而不必购买另一个OSX服务器呢？

Answer 1

说大也大吧。开放目录域实际上是3种半集成服务:用于大多数数据的LDAPv3 (由相当标准的OpenLDAP服务器提供)、用于单点登录身份验证的Kerberosv5 KDC (由MIT的Kerberos实现提供，只需几处调整)，以及用于其他类型身份验证的基于SASL的密码服务器(由至少部分基于CMU项目提供)。

复制LDAP组件不应该太难--将syncrepl配置为任何其他OpenLDAP实现，然后添加额外的服务器(S) URL(s)作为cn=ldapreplicas、cn=config的apple- LDAP副本属性的值，以及LDAP中的所有搜索基斯记录(这将告诉客户端有关副本的信息)。

密码服务和Kerberos要难得多。据我所知，苹果已经大大扩展了CMU的SASL代码，所以我认为如果不付出巨大的努力，就不可能复制它。Kerberos会很容易..。除了它依赖密码服务器进行复制(复制网络中的密码服务器相互更新新密码，然后每个服务器负责更新同一服务器上的Kerberos KDC )。注意，cn=config下也有LDAP记录，告诉客户端所有可用的密码服务器和KDCs都在哪里；Kerberos的密码服务器相当明显，但密码服务器的密码服务器更难辨认。

所以您可以进行LDAP复制，但我不认为密码服务器和KDC副本是实用的。如果您没有备份这些服务，那么复制LDAP就没有多大好处。

如果这只是你关心的正常运行时间，那么添加一个Mini服务器作为副本怎么样？他们不需要任何方式的高吞吐量服务，但作为紧急备份，我会考虑他们的事情。