Nur ganz kurz: Wenn es um zeitkritische Dienste geht, wie z.B. bei der vor kurzem beschriebenen LDAP StandbyMaster / Multi-Master Geschichte, dann lohnt es sich auch den NTP-Offset Wert mit Nagios zu ueberwachen… z.B. mit:
./check_ntp_time -H 123.123.123.123 -w 0,005 -c 0,01
Das loglevel wird in der /etc/ldap/slapd.conf mit dem Eintrag
loglevel INTEGER
festgelegt. Moegliche Werte sind (man slapd.conf)
Diese Zahlen sind auch beliebig kombinierbar. Moechte man z.B. das loglevel 128 und 32 kombiniert haben, traegt man loglevel 160 ein.
Der LDAP logt normalerweise nach /var/log/syslog. Moechte man eine eigene Logfile haben, z.B. /var/log/slapd.log, dann die folgende Zeile in /etc/syslog.conf bzw. /etc/rsyslog.conf hinzufuegen:
local4.* /var/log/sldap.log
Um die logfile in logrotate mit aufzunehmen die Datei /etc/logrotate.d/slapd anlegen und wie folgt fuettern:
/var/log/slapd.log { rotate 7 daily missingok notifempty delaycompress compress postrotate invoke-rc.d rsyslog reload > /dev/null endscript }
Nach entsprechenden Aenderungen natuerlich die jeweiligen Dienste (ldap, rsyslog) neustarten…
Ich bin ein Freund vom Plain text. Damit laesst sich IMHO immer noch am besten Arbeiten. Man kann es in alle denkbaren Formate umwandeln, umbiegen, exportieren, was auch immer, und ist deswegen was Backups angeht das Ziel meiner Wahl. Natuerlich habe ich bei dem LDAP-Server das /var/lib/ldap/ im Backuppath mit drin, aber es geht nichts ueber eine Textdatei in der die Werte nochmal als Plain text drinstehen; gleiches gilt uebrigens fuer MySQL-Datenbanken…
Die Backupdatei erstelle ich mit slapcat. Wichtig dabei ist zu beachten, dass die slap* Tools ganz anders arbeiten als die entsprechenden ldap* Gegenstuecke. Beispiel slapadd und ldapadd. Die ldap* Tools sind LDAP-Clients die ueber das LDAP-Protokoll auf die Datenbank zugreifen. Die slap* Befehle aber greifen direkt auf die lokalen Datenbankdateien zu, die Berkley DB = *.bdb Dateien in /var/lib/ldap/. Da die slap* Befehle direkt darauf zugreifen koennen Sie natuerlich nur auf dem Rechner ausgefuehrt werden auf dem der LDAP-Server laeuft, und es ist wichtig, dass der LDAP-Daemon nicht laeuft. Entsprechend ist auch das Backup-Skript was fuer den LDAP laeuft, einmal taeglich per Cron aufgerufen:
#!/bin/bash SLAPCAT=/usr/sbin/slapcat GZIP=/bin/gzip BACKUPDIR=/root/ldapbackup/ # Daemon stoppen /etc/init.d/slapd stop > /dev/null 2>&1 if [ $? != "0" ]; then logger -t "LDAP-Backup:" "Fehler beim Stoppen des slapd Daemons." exit 1 fi # Backup in Textdatei erzeugen $SLAPCAT > $BACKUPDIR/$(date +%Y%m%d)-ldapbackup.ldif if [ $? != "0" ]; then logger -t "LDAP-Backup:" "Fehler beim Schreiben der Backupdatei mit slapcat." exit 1 fi # Textdatei komprimieren $GZIP $BACKUPDIR/$(date +%Y%m%d)-ldapbackup.ldif if [ $? != "0" ]; then logger -t "LDAP-Backup:" "Fehler beim Komprimieren der erstellten Backupdatei." exit 1 fi # Daemon starten und wenn es ueberall keine Probleme gab dann Erfolgsmeldung in syslog /etc/init.d/slapd start > /dev/null 2>&1 if [ $? != "0" ]; then logger -t "LDAP-Backup:" "Fehler beim Starten des slapd Daemons." exit 1 else logger -t "LDAP-Backup:" "Das Backup der LDAP-Datenbank wurde erfolgreich durchgefuehrt." fi
Wie Ihr merkt beschaeftige ich mich in der letzten Zeit vermehrt mit dem Thema, hier nochmal eben festgehalten wie man einen Benutzeraccount so beschraenkt, dass er sich nur an bestimmten Rechnern anmelden darf:
Loeschen kann man das ganze indem man einfach alle Attributparameter loescht und speichert. Mehrere Rechnernamen werden mit Komma getrennt hintereinander angegeben.
Evtl. ist noch interessant unter Windows in den Gruppenrichtlinien (Windows+R -> gpedit.msc) den Punkt “Computerkonfiguration -> Administrative Vorlagen -> System -> Benutzerprofile -> Benutzer bei Fehlschlag des servergespeicherteten Profils abmelden” zu aktivieren. Ansonsten bekommt der User eine Fehlermeldung das er sich nicht an der Domaene anmelden darf u wird temporaer mit einer lokalen Kopie angemeldet.
