Replicação da PasswordPolicy [RESOLVIDO]

danilsonjr
(usa Outra)

Enviado em 22/09/2014 - 11:47h

Estou tendo dificuldades em replicar a política de senha utilizando o syncrepl.
Faço a replicação da base com o seguinte trecho de código:

syncrepl rid=0
provider=ldap://10.5.1.175
type=refreshAndPersist
interval=00:00:00:10
searchbase="o=example,c=br"
scope=one
schemachecking=off
bindmethod=simple
binddn="cn=Manager,o=example,c=br"
credentials=123456
retry="60 +"

A replicação da base esta ok, porém ele não replica a política de senha (cn=DefaultPassword,ou=Policies).

Testei com duas syncrepl da seguinte forma:

syncrepl rid=000
provider=ldap://192.168.56.101
type=refreshAndPersist
interval=00:00:00:10
searchbase="o=example,c=br"
scope=one
schemachecking=off
bindmethod=simple
binddn="cn=Manager,o=example,c=br"
credentials=123456
retry="60 +"
syncrepl rid=001
provider=ldap://192.168.56.101
type=refreshAndPersist
interval=00:00:00:10
searchbase="ou=policies,o=example,c=br"
scope=one
schemachecking=off
bindmethod=simple
binddn="cn=Manager,o=example,c=br"
credentials=123456
retry="60 +"

Desta forma ele funcionou, replica tanto a política de senha quanto a base comum, com um porém, se a primeira alteração que eu fizer após erguer o serviço for na base comum (rid=000) ele fica sincronizando só a base comum, já se a primeira alteração que eu fizer após erguer o serviço for na política de senha (rid=001) ele fica sincronizando só a política.
Ja tentei deixar uma como refreshAndPersist e a outra como refreshOnly mas sem sucesso.

Alguém tem alguma ideia que possa me ajudar...

Desde ja agradeço...

danielmb
(usa Gentoo)

Enviado em 23/09/2014 - 09:39h

danilsonjr,
quando você faz a especificação de scope = one, você está replicando só as entradas de primeiro nível da sua base.
Se quiser replicar a árvore toda, deveria especificar scope = sub.
Dessa forma todas as suas entradas do dc=example, dc=br seriam replicadas, inclusive suas políticas.

danilsonjr
(usa Outra)

Enviado em 23/09/2014 - 10:54h

danielmb,

Funcionou perfeitamente, dúvida bem de iniciante, kkk, mas estava quase a uma semana quebrando a cabeça com isso.
Vou continuar nas configurações...

Grato...

danielmb
(usa Gentoo)

Enviado em 23/09/2014 - 13:18h

Precisando é só postar aqui

danilsonjr
(usa Outra)

Enviado em 24/09/2014 - 09:16h

daniel,

seguindo na configuração me deparei com mais um probleminha:

A replicação esta OK, trabalho com servido master/slave onde não é permitido slave escrever no master. Então quando insere um atributo no usuário que seja exclusivo do slave, ex: pwdGraceUseTime, pwdFailureTime, a sincronização para e não consigo fazer voltar a sincronizar.
Segue a configuração do syncrepl:

syncrepl rid=000
provider=ldap://192.168.56.102
type=refreshAndPersist
interval=00:00:00:10
searchbase="o=example,c=BR"
exattrs="pwdCheckQuality,pwdCheckModule,pwdAllowUserChange,pwdMinLength,pwdInHistory,pwdHistory,pwdFailureTime,pwdAccountLockedTime,pwdGraceUseTime"
scope=sub
schemachecking=off
bindmethod=simple
binddn="cn=Manager,o=example,c=BR"
credentials=123456
retry="60 +"

O campo exattrs é porque as alterações de senha são permitidas somente no master, então os campos pwdCheckQuality,pwdCheckModule,pwdAllowUserChange,pwdMinLength,pwdInHistory,pwdHistory são desnecessários no slave, e também porque os bloqueios serão individuais em cada servidor, portanto os campos pwdFailureTime,pwdAccountLockedTime,pwdGraceUseTime não são necessários replicar.
Alguma ideia??
Desde ja grato...

danielmb
(usa Gentoo)

Enviado em 24/09/2014 - 09:40h

danilsonjr,
creio este parâmetro exattrs não exista no openLDAP. Não achei nada da documentação oficial.
No lugar deste parâmetro, utilize apenas attrs. Acho que isso pode resolver o problema ou parte dele.

danilsonjr
(usa Outra)

Enviado em 24/09/2014 - 10:14h

daniel,

Ele esta funcionando OK, os campos listados no exattrs não estão sendo replicados, mas independente de eu colocar ele ou não no exattrs, ele da o erro. Ja testei utilizando só o attrs também, mas sempre que um dado é armazenado diretamente no slave ele trava a sincronização, como coloquei de exemplo o pwdFailureTime, se o usuário errar a senha de acesso ao acessar um servidor slave ele insere o registro pwdFailureTime no usuário no slave e a partir dai a sincronização não funciona mais.
A única forma dele voltar a sincronizar que encontrei agora foi comentar as linhas do syncrepl no slapd.conf, apagar toda a base do slave, descomentar as linhas do syncrepl. Só assim ele volta a sincronizar.

danielmb
(usa Gentoo)

Enviado em 24/09/2014 - 12:59h

danilsonjr,

você está logando as operações do servidor?
Assim eu posso te ajudar melhor, com os logs dos erros.

danilsonjr
(usa Outra)

Enviado em 25/09/2014 - 07:55h

Desculpa daniel,

Mas mais um erro infantil, a hora do servidor slave estava 4 horas adiantada em relação ao master, então ele não replicava pois quando eu fazia uma alteração no slave, ex pwdFailureTime, ele ficava como ultima modificação no slave como 15:00 hs por exemplo, e a ultima atualização no master era de 10:00 hs do mesmo dia, portanto ele entendia que o slave estava mais atualizado que o master e não mandava atualização, ele só voltava a atualizar quando a hora do master chegava a hora da ultima atualização do slave, ou seja 4 horas depois, assim que acertei a hora do slave com o master sincronização voltou ao normal.

Mais uma lição aprendida, servidores replicados devem estar com horário ajustado com o mestre.

Grato....

danielmb
(usa Gentoo)

Enviado em 25/09/2014 - 08:06h

danilsonjr,
use o ntp jovem padawan.
haha. Ossos do ofício

danilsonjr
(usa Outra)

Enviado em 25/09/2014 - 08:52h

kkk, valew

danilsonjr
(usa Outra)

Enviado em 13/10/2014 - 12:33h

Mais uma dúvida:

Quero ocultar a senha na configuração syncrepl do slave.

Atualmente esta:

credentials=senha_em_texto_claro

Queria algo do tipo:

credentials={SSHA}xxxxx

mas fazendo isso ele para de sincronizar, só sincroniza se eu passar a senha em texto claro. Alguma configuração adicional que tenho que fazer pra isso funcionar assim??

Desde ja agradeço...