Автор Тема: Как перенести базу LDAP на другой сервер? (Прочитано 6917 раз)

asterix81 · « : 18.03.2014 11:31:06 »

Хочу изменить основной домен и переустановить систему на сервере. Пытаюсь перенести базу LDAP,400 учеников, на другой сервер, через Alterator нажимаю сохранить файл LDIF выдает ошибку переполнения.

Skull · « **Ответ #1 :** 18.03.2014 12:07:38 »

Цитата: asterix81 от 18.03.2014 11:31:06

Хочу изменить основной домен и переустановить систему на сервере. Пытаюсь перенести базу LDAP,400 учеников, на другой сервер, через Alterator нажимаю сохранить файл LDIF выдает ошибку переполнения.

Да, это пока не работает. Или через slapcat в консоли или через getent/ldap-useradd (но будут потеряны пароли).

berkut_174 · « **Ответ #2 :** 18.03.2014 18:06:43 »

Интересный и актуальный вопрос.
Кто-нибудь реально переносил базу с помощью этих утилит ?
С какими проблемами пришлось столкнуться ?
Всё руки никак не доходят на ВМ попробовать...

berkut_174 · « **Ответ #3 :** 18.03.2014 19:12:23 »

Цитата: berkut_174 от 18.03.2014 18:06:43

Всё руки никак не доходят на ВМ попробовать...

На скорую руку установил.
Создал 3 пользователя, потом 3 группы и потом ещё 2 пользователя.
Далее

Код: [Выделить]

slapcat -b "dc=firma" -l firma.ldifПотом остановил slapd, почистил все файлы в /var/lib/ldap/bases/firma/* кроме DB_CONFIG, вернул обратно базу

Код: [Выделить]

slapadd -l firma.ldifТеперь при запуске krb5kdc ошибка:

Код: [Выделить]

krb5kdc: cannot initialize realm FIRMA - see log file for detailsЧто я упустил ?

Про пароли конечно плохо, но это думаю поправимо, т.к. список пользователей + пароль имеется.

Также интересую смена имени домена, полагаю, что что-то придётся править вручную...

Skull · « **Ответ #4 :** 18.03.2014 19:23:12 »

Перенос баз полностью – процесс нетривиальный. Проще создать домен и через ldap_useradd импортировать пользователей. Онии в Kerberos создадуться.

berkut_174 · « **Ответ #5 :** 18.03.2014 19:25:33 »

Цитата: Skull от 18.03.2014 19:23:12

Перенос баз полностью – процесс нетривиальный. Проще создать домен и через ldap_useradd импортировать пользователей. Онии в Kerberos создадуться.

Спасибо, сейчас так и подумал попробовать

berkut_174 · « **Ответ #6 :** 18.03.2014 20:17:33 »

Так,.. понятно,.. нужно разбираться...

asterix81 · « **Ответ #7 :** 19.03.2014 09:27:21 »

Цитата: Skull от 18.03.2014 19:23:12

Перенос баз полностью – процесс нетривиальный. Проще создать домен и через ldap_useradd импортировать пользователей. Онии в Kerberos создадуться.

Я через slapcat -l >ldap.ldif сохранил базу на 1 сервере, перенес файл на 2 сервер, через альтератор создаю новую базу и пока пользователей не обнаружил, что делать нужно конкретно для копирования пользователей?

berkut_174 · « **Ответ #8 :** 19.03.2014 11:27:11 »

Я так понял, что самое простое будет сделать так, на рабочем сервере выполнить

Код: [Выделить]

ldap-getent passwdи

Код: [Выделить]

ldap-getent groupСохранить это дело в файл.
После, на новом сервере создать домен и с помощью скриптов ldap-useradd/ldap-groupadd внести этих самых пользователей и группы. Тут ведь важно только сохранить UID/GID, так что должно сработать. Пароли придётся также через скрипт ldap-passwd внести в базу.
Вот. Надо пробовать...

berkut_174 · « **Ответ #9 :** 19.03.2014 11:33:16 »

Только вот сейчас заметил, что в скриптах нет возможности указать UID/GID...
Тогда...

Skull · « **Ответ #10 :** 19.03.2014 11:44:38 »

Цитата: berkut_174 от 19.03.2014 11:33:16

Только вот сейчас заметил, что в скриптах нет возможности указать UID/GID...
Тогда...

http://www.altlinux.org/Domain/Scripts#ldap-usermod
может менять любое поле кроме использованных в dn. То есть uidNumber и gidNumber

berkut_174 · « **Ответ #11 :** 19.03.2014 12:19:24 »

Цитата: Skull от 19.03.2014 11:44:38

http://www.altlinux.org/Domain/Scripts#ldap-usermod
может менять любое поле кроме использованных в dn. То есть uidNumber и gidNumber

Ммм... ни очень красиво получается, но что делать...
Спасибо, попробую поколдовать.

Skull · « **Ответ #12 :** 19.03.2014 13:40:27 »

Цитата: berkut_174 от 19.03.2014 12:19:24

Цитата: Skull от 19.03.2014 11:44:38
http://www.altlinux.org/Domain/Scripts#ldap-usermod
может менять любое поле кроме использованных в dn. То есть uidNumber и gidNumber
Ммм... ни очень красиво получается, но что делать...
Спасибо, попробую поколдовать.

Эту проблему я буду решать, но пока у неё низкий приоритет.

berkut_174 · « **Ответ #13 :** 19.03.2014 16:07:33 »

Цитата: Skull от 19.03.2014 13:40:27

Эту проблему я буду решать, но пока у неё низкий приоритет.

Это уже радует!

Возник вопрос, не пойму как вывести дополнительные поля через ldap-getent.
Нужно ещё cn вывести. Как ?
Пишу

Код: [Выделить]

ldap-getent passwd * cn

Skull · « **Ответ #14 :** 19.03.2014 16:23:44 »

Цитата: berkut_174 от 19.03.2014 16:07:33

Цитата: Skull от 19.03.2014 13:40:27
Эту проблему я буду решать, но пока у неё низкий приоритет.
Это уже радует!

Возник вопрос, не пойму как вывести дополнительные поля через ldap-getent.
Нужно ещё cn вывести. Как ?
Пишу
Код: [Выделить]
ldap-getent passwd * cn

...и bash раскрывает * в имена файлов в текущем каталоге, подставляя их в ldap-getent. Чтобы избежать этого, нужно:

Код: [Выделить]

ldap-getent passwd \* cnили

Код: [Выделить]

ldap-getent passwd '*' cnили

Код: [Выделить]

ldap-getent passwd "*" cn
Правда, будет выведено только поле cn.

Форум сообщества
Альт Линукс