N-wayマルチマスターシステムへのLDAPスレーブの追加

N-wayマルチマスターシステムへのLDAPスレーブの追加

N-wayマルチマスターモードでOpenldap 2.5を実行する2つのUbuntu 22.04 LTSサーバーがあります。それはうまく機能し、数年間使用されてきました。今このシステムにスレーブを追加したいと思います。 2つのマルチマスターノードはTLSを使用せず、両方ともバインディング/同期にcn = admin、dc = some、dc = domain、dc = comアカウントを使用します。 LDAP 管理者パスワードは終日プレーンテキストで前後に転送されますが、コンピュータは独自のプライベート VLAN で同期されるため、これは理想的ではありません。

しかし、新しいスレーブにはTLS / SSLを使用したいと思います。

CAを設定し、いくつかの証明書を生成した後、マスターサーバーとスレーブサーバーのいずれかにインストールしました。どちらもSTARTTLS要求を処理できます。今まではそんなに良くなった。

マスターサーバーにユーザー「レプリケーター」を作成し、ユーザーにパスワードを割り当てました。レプリケータアカウントがスレーブデバイスで同期転送をバインドするアカウントであることを指定します。

「レプリケータ」がユーザーデータベースへの読み取りアクセス権を持つように、マスターにaclルールを追加する必要があります。それでは、以下を追加します。

olcAccess: {0}to * by dn.exact "cn=replicator,dc=some,dc=domain,dc=com" read by * break

プライマリデータベース "dn: olcDatabase={1}mdb,cn=config" とプライマリデータベースのアクセスログデータベース "dn: olcDatabase={2}mdb,cn=config" に移動します。追加すると、新しいルール(ルール{0})が最初に評価されることを除いて、両方のデータベースのACLが正しいように見えます。

これで状況が変になります。これらのルールが適用されると、マイ(シングル)マスターと新しいスレーブは同期を開始し、同じcontextCSN値をすばやく表示します。しかし、この時点で私の2つのマスターは同期されなくなりました。これらの「レプリケータ」ユーザールールを削除し、マスターからslapdを再起動して他のマスターとの同期をリセットする必要があります。マスターの1つにある2つのデータベースへのレプリケーター読み取りアクセス用に単一のACLエントリを追加することを除いて、どのマスターにも変更は適用されませんでした。

何が起こっているのか、または詳細な情報をどこで見つけることができるかについての提案はありますか?これは本番環境なので、マスターをオフラインにすることができる期間が制限されます。

どんな提案にも感謝します。

関連情報