Mandi! Pierangelo Masarati In chel di` si favelave... > Suggerisco vivamente di fare riferimento alla guida > (<http://www.openldap.org/doc/admin23/>, in particolare > <http://www.openldap.org/doc/admin23/syncrepl.html>), che e' stata di > molto migliorata (e lo sara' parecchio di piu' con 2.4, c'e' una persona > che si occupa "a tempo pieno" dell'aggiornamento dei documenti).
Due note. La guida è sicuramente molto chiara, ma mi è sembrata un ninin poco 'pratica': in fase di detup 'sul campo' ho incontrato dei problemi che ho risolto solo con google. Alcune cose non me le spiego, e quindi vi stresso. ;) Innanzitutto una inezia: il modulo va caricato!!! dieciminuti di panico per questo... ;))) La mia configurazione sul master ora è: # Questo è il master, istanziamo l'overlay di replica. # moduleload syncprov overlay syncprov syncprov-checkpoint 100 10 syncprov-sessionlog 100 # Diamo profondità di ricerca senza limiti all'utente di replica # limits dn.exact="cn=replica,dc=sv,dc=lnf,dc=it" time.soft=unlimited time.hard=unlimited size.soft=unlimited size.hard=unlimited la riga che toglie all'utente usato ogni limite l'ho trovata nel wiki di samba, e mi è parsa una buona idea: http://wiki.samba.org/index.php/2.0:_Configuring_LDAP#2.2.2._slapd.conf_Master_delta-syncrepl_Openldap2.3 e poi ovviamente su ogni ACL ho aggiunto un: by dn="cn=replica,dc=sv,dc=lnf,dc=it" read Prima domanda: è possibile, invece di andare a modificare ogni ACL aggiungere una ACL su match wildcard (*) ma che venga usata solo per un dato utente? Ho provato ad aggiungere una entry come: access to * by dn="cn=replica,dc=sv,dc=lnf,dc=it" read ma poi vengono, e credo anche giustamente per come è costruito il parser, saltate tutte le altre. Sullo slave ho invece: # Questo è lo slave, configuriamo il poller # syncrepl rid=1 provider=ldaps://ldap.sv.lnf.it/ type=refreshAndPersist retry="60 +" searchbase="dc=sv,dc=lnf,dc=it" filter="(objectClass=*)" scope=sub attrs="*,+" schemachecking=off bindmethod=simple binddn="cn=replica,dc=sv,dc=lnf,dc=it" credentials=nontelado # Ovviamente abilitiamo l'updateref per disabilitare le operazioni di # scrittura # e ridirezionarle al master # updateref ldaps://ldap.sv.lnf.it/ Finalmente i due alberi LDAP si sincronizzano da soli, è moooolto carino semplicemente 'rasare' lo slave e vedere che in pochi secondi si è ripreso tutto... Seconda domanda: i due documenti del samba wiki fanno riferimento entrambi all'utilizzo di 'rootdn', che nella configurazione standard debian è commentato. Scommentato, l'unica differenza che noto è che le ACL vengono bellamente ignorate (stampa un warning slapd, anche) e che non c'è nessun limite, ergo 'rootdn' è a quel punto veramente a potete totale. La cosa sinceramente non mi dispiace, mi chiedo quali criteri ci siano dietro al non abilitare la 'rootdn', e ad aggiungere invece ACL e eliminazione di limitazioni specifiche. Grazie. -- dott. Marco Gaiarin GNUPG Key ID: 240A3D66 Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/ Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN) marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797 _______________________________________________ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap