当我们的OpenLDAP服务器断电时,CentOS机器的控制台几乎无法使用.
我们尝试使用本地帐户登录,但每个命令都需要几分钟才能返回.甚至像ls这样的简单命令也只是坐在那里.
对于Ubuntu下的相同配置,这似乎不是问题.初始登录需要一段时间才能成功获得本地帐户,但一旦您处于一切正常状态.
我正在寻找一种缓解问题的方法,并想出了一些想法:
>为ldap-pam模块设置超时值(如果存在)
>运行本地ldap db并对其进行身份验证(它将是主要的奴隶)
>如果我们松开与ldap服务器的连接,则创建一个cron作业以启用/禁用
有没有更好的解决方案来管理LDAP的某种冗余/故障转移?
解决方法
你有几个选择.
我们使用复制在网络上有几个LDAP服务器,隐藏在负载均衡器后面,所以如果一个发生故障,我们仍然有一个可用.我们使用keepalived来实现负载平衡.您还可以在具有热备份从站的故障转移设置中使用keepalived.
其次,您可以在每个工作站上安装本地LDAP服务器,但这会导致高维护问题,因为您需要管理所有这些并监视它们以确保它们能够跟上复制的步伐.你不希望它们不同步.
如果您有从属服务器,请确保设置updateref选项,以便将任何尝试的更新发送到主服务器.
您可以使用/etc/ldap.conf中的几个设置来改善情况.最重要的是:
bind_policy soft
默认值为“hard”,它将继续重试以在两者之间等待与服务器联系.如果将其设置为软,则会立即返回.您还可以使用超时选项来减少等待的时间.
# Search timelimit timelimit 30 # Bind/connect timelimit bind_timelimit 30
