IBM Directory Server 6.0复制配置说明

IBM Directory Server 6.0复制配置说明

 

本文中将一步一步地介绍如何在 Windows 2000上进行IBM Directory Server上设置复制功能。

 

简介：

目录是安排在层次结构中的对象信息的集合。它是一种特殊的数据库，使用户或者应用程序能够找到具有完成特定任务所需特征的资源。IBM Directory 实现了 Internet Engineering Task Force (IETF) LDAP V3 规范。IBM 还在功能和性能方面做了改进。IBM Directory Server 6.0 使用 IBM DB2 作为存储支持，为每个 LDAP 操作提供了事务完整性、高性能操作以及在线备份和恢复功能。

本文中将一步一步地介绍如何在 Windows 2000 和 IBM Directory Server (IDS) 6.0 上设置复制功能。

 

 

 

前提条件

在两台不同的机器上安装 IDS。一台机器作为主服务器，另一台作为复制服务器(Replica Server)。本文假定您已经在两台不同的机器上安装了 IDS。

 

基本定义

后缀(suffix)：如dc=nj,dc=statetax,dc=cn。

子树(Subtree)： 这是 Directory Information Tree(目录信息树，DIT)的一个分支，比如 o=ibm,c=us和dc=nj,dc=statetax,dc=cn

复制子树(Replicated subtree)： 复制子树是从一台服务器复制到另一台服务器的 DIT 的一部分。

复制协议(Replication agreement)： 复制协议是包含在定义两台服务器间 "connection" 或者 "replication path" 的目录中的信息。一台服务器称为供应方(发送目录变化的一方)，另一台称为消费方(接收目录变化的一方)。

消费服务器(Consumer server)： 通过复制从另一台服务器(供应方)接收变化的服务器。

供应服务器(Supplier server)： 向另一台服务器(消费方)发送变化的服务器。

复制(Replication)： 复制是目录服务器用于改进性能和可靠性的一种技术。复制过程保持多个目录中的数据同步。

 

采用复制是为了减轻主 LADP 的查找请求以提高性能。主 LDAP 服务器是唯一能够更新的 LDAP 服务器。使用复制另外一个最重要的原因是允许关闭LDAP 服务器以便备份数据库。如果没有复制，在进行备份的时候将会停止验证。

 

复制的好处

服务器复制改进了目录服务的可用性。主服务器和多个辅助服务器的结合可以保证在需要的时候能使用目录数据。如果一台服务器发生故障，仍然可以使用其他复制服务器上的目录服务。

 

复制涉及到两种类型的目录：主目录和复制目录。LDAP 把主服务器称为主机，把复制服务器称为副本。对于特定的目录结构，只能有一台主服务器。所有的更新都在这台服务器上完成，然后可以把这些更新传播到复制服务器。每台复制服务器都包含主服务器目录数据的精确拷贝。

目录的变化只能在主服务器上完成，总是对目录使用写操作。无论主服务器还是复制服务器都可用于读操作。如果原来的主服务器长期不能服务，则提升一台复制服务器作为主服务器，从而对目录进行写操作。

 

复制需求

• 复制 LDAP 服务器和 LDAP 主服务器一样，处理相同的目录上下文。
• 因为 LDAP 复制服务器具有相同的目录上下文，它们的后缀必须与主服务器相同。
• 每台复制服务器上的架构(Schema)定义也必须与主服务器相同。

 

复制拓扑

定义复制拓扑必须：

        

(1). 添加后缀

(2). 在主服务器上定义复制子树及其内容。选择需要复制的子树(比如dc=nj,dc=statetax,dc=cn)并指定该服务器作为主服务器。

(3). 创建供应方所用的凭证。

(4). 创建复制服务器。

(5). 向复制服务器导入数据。

 

1.    IDS添加后缀

启动两台IDS目录下appsrv的Web管理

       /appsvr/bin/startServer.bat server1

登陆主服务器上的控制台管理，地址https://ServerName:12101/IDSWebApp/IDSjsp/Login.jsp

添加受管理的服务器

 

 

添加完成的列表如下图

 

重新登陆主服务器

 

添加后缀，dc=nj,dc=statetax,dc=cn

添加完成以后如下图，退出主服务器控制台管理，重新登陆从服务器添加从服务器的后缀

 

2.    在主服务器上创建复制子树

创建复制子树必须指定希望服务器复制的子树。

(1). 启动 IBM Directory Server。

(2). 打开浏览器，输入 https://ServerName:12101/IDSWebApp/IDSjsp/Login.jsp。

(3). 在 IBM Directory Server Web Administration 登录页面上，从下拉菜单中选择机器的IDS主机名。

(4). 输入服务器的 bind DN 和 password(口令)(本文中使用 cn=root 和password = root)。单击 Login(登录)。

(5). 登录到 IDS Web Administration Tool 后，在导航区展开 Replication management(复制管理)目录并单击 Manage topology(管理拓扑结构)。

(6). 单击 Add subtree(添加子树)。

 

1. 输入希望复制的子树 DN，比如 dc=nj,dc=statetax,dc=cn，或者单击 Browse(浏览)展开目录并选择一项作为子树的根。
2. 输入主服务器引用 URL。必须采用 LDAP URL 的形式，如 ldap://77.20.22.58:389。

 

新的服务器显示在标为 Replicated subtrees(复制子树)的 Manage topology(管理拓扑)面板中。

 

 

3.    创建凭证

在 Web Administration Tool 导航区域中展开 Replication management(复制管理)目录，然后单击 Manage credentials(管理凭证)。

 

 

 

1.            从子树列表中选择保存凭证的位置。Web Administration Tool 允许三个地方定义凭证：

a) cn=replication,cn=localhost：只能保存当前服务器的凭证。 在大多数情况下，这是首选的，因为它提供比定位在子树中的复制凭证更高的安全性，但此选项仅在尝试在其下添加副本的服务器与正在连接的带有Web管理工具的服务器相同时才可用。

b) cn=replication,cn=ibmpolicies。

b) cn=replication,cn=localhost：此选项在尝试在其下添加副本的服务器与使用Web管理工具所连接的服务器不同时可用。

c) 在复制子树中，在此情况下会使用子树的其余部分复制凭证，放在已复制子树的凭证在该子树的ibm-replicagroup=default条目下创建。

 

注意：这里使用的是 cn=replication,cn=localhost。

 

2.          单击 Add(添加)。

3.          输入要创建的凭证名称，这里使用的才是。

1. 选择要使用的验证方法类性，然后单击 Next(下一步)。
2. 这里选择的是 Simple bind(简单绑定)验证：
   a. 输入服务器用于绑定复制的 DN，如 cn=ldapbind。 这是自己定义的，但要记住便于后面使用。
   b. 输入绑定到复制时所用的口令，如 root。
   c. 再次输入口令并确认以保证没有拼写错误。
   d. 如果需要的话，输入凭证的简要描述。
   e. 单击 Finish(完成)。

 

 

注意： 为了将来方便可以记录下凭证的绑定 DN 和口令，在创建复制协议时将需要这个口令。

4.    创建复制

在导航区展开 Replication management(复制管理)并单击 Manage topology(管理拓扑)。

选择希望复制的子树并单击 Show topology(显示拓扑)。

 

2.      单击 Replication topology(复制拓扑)选项旁边的箭头展开供应方服务器的列表。

²     选择供应服务器(77.20.22.58)并单击 Add replica(添加副本)。

²     在 Add replica(添加副本)窗口的 Server(服务器)选项卡中：

²     输入所创建复制的主机名(77.20.22.60)和端口号。对于非 SSL 默认端口号为 389，SSL 默认端口号为 636。这些都是必填的字段。

²     选择是否 enable SSL communications(启用 SSL 通信)。

²     在副本名称处输入复制名或者保留空白使用主机名。

²     单击 Get replica ID(获得复制 ID)以自动填充该字段。或者输入 replica ID(复制 ID)，如果创建复制的服务器正在运行。

²     输入 replica server(复制服务器)的描述。

 

在 Additional(其他) 选项卡中：

1. 指定复制与主机通信所用的凭证。
   a. 单击 Select(选择)。
   b. 选择要使用的凭证位置。最好使用 cn=replication,cn=localhost。
   c. 单击 Show credentials(显示凭证)。
   d. 展开凭证列表并选择要使用的凭证。
   e. 单击 OK(确定)。

1. 从下拉列中选择复制方案或者单击 Add(添加) 创建一个复制方案。

 

 

或者不做任何操作，接受默认配置。

1. 从供应方所提供的功能列表中，取消选择不需要复制的那些功能。

单击 OK(确定)创建复制。

此时，主服务器端的配置已经完成，系统出现如下提示：

 

 

 

 

 

点击“确定”，自动显示完成的拓扑结构：

 

 

注意，此时在主服务器上有一个副本：77.20.22.60。

5.         复制数据到复制服务器

创建复制之后还必须把拓扑从主服务器导入到复制服务器。这是一个手工操作过程，可以通过LDIF文件实现，或者手工在复制服务器上实现。

1.        在从服务器上，搜索 db2admin实例的 ibm-slapdCryptoSalt 值。 命令如下：

# idsldapsearch -D cn=root -w root -p 389 -b cn=crypto,cn=localhost objectclass=*

ibm-slapdCryptoSalt >>会有类似的输出：

ibm-slapdCryptoSalt=$?O(}y8`A/i_

2.        在主服务器上，家所有的数据导出到 masterdata.ldif:

# idsdb2ldif -o masterdata.ldif -I db2admin -k <从服务器的seed值> -t <从服务器的 ibm-slapdCryptoSalt值>

 

例如：

--------

- 从服务器的 ibm-slapdCryptoSalt值: $?O(}y8`A/i

- 从服务器的 inst2ids 实例的seed值: 111111111111

 

那么，主服务器上导出数据的命令为

# idsdb2ldif -o masterdata.ldif -I db2admin -k 111111111111 -t $?O(}y8`A/i

 

(注意 -如果 ibm-slapdCrytoSalt 有特殊字符，你可能需要在其前面添加转义符( / ))

 

3.        将主服务器的LDIF 文件复制到从服务器上

 

4.        在从服务器上，确保所有的 schema 文件(V3.*) 与主服务器上的schema文件内容一致。 (尤其是 V3.modifiedschema).

 

文件的具体路径：

C:/idsslapd-inst1ids/etc

 

 

5.        在从服务器上，导入数据文件。这样，复制协议、方案、凭证(如果保存在复制子树中)和记录数据都被加载到复制服务器中。

在创建复制的机器(Server 2，77.20.22.60)上：

停止复制服务器。

# idsldif2db -r no -i masterdata.ldif -I db2admin

6.        检查倒入的条目和导出的条目的数量是否一致。

启动复制服务器。