LDAP backend

Материал из ALT Linux Wiki

Настройка бэкэнда для LDAP

Требуется:

Сервер №1 c freeipa: dc1.testbc.testgl

Сервер №2 с репликой freeipa: dc1.testbc.testgl

Сервер №3 с haproxy: haproxy.testbc.testgl

Настройка:

Инструкция для настройки сервера №1 и №2: FreeIPA

На сервере №3:

Установить

# apt-get install haproxy

Сохранить оригинальный конфигурационный файл:

cp /etc/haproxy/haproxy.cfg /etc/haproxy/haproxyBAK.cfg

Изменить конфигурацию:

cat << EOF > /etc/haproxy/haproxy.cfg
global
    log         127.0.0.1 local2

    chroot      /var/lib/haproxy
    pidfile     /var/run/haproxy.pid
    maxconn     4000
    user        _haproxy
    group       _haproxy
    daemon

    stats socket /var/lib/haproxy/stats
# LDAP and LDAP/STARTTLS
frontend ldap_service_front
  mode                  tcp
  bind                  *:389
  description           LDAP Service
  option                socket-stats
  option                tcpka
  timeout client        3600s
  default_backend       ldap_service_back

backend ldap_service_back
  server                ldap-1 dc1.testbc.testgl:389 check fall 1 rise 3 inter 2s weight 150
  server                ldap-2 dc2.testbc.testgl:389 check fall 1 rise 3 inter 2s weight 100
  mode                  tcp
  balance               roundrobin
  option                tcpka
  option                ldap-check
  timeout server        1800s
  timeout connect       1s
frontend ldaps_service_front
  mode                  tcp
  bind                  *:636
  description           LDAP Service
  option                socket-stats
  option                tcpka
  timeout client        3600s
  default_backend       ldap_service_back

backend ldaps_service_back
  server                ldap-1 dc1.testbc.testgl:636 check fall 1 rise 3 inter 2s weight 150
  server                ldap-2 dc1.testbc.testgl:636 check fall 1 rise 3 inter 2s weight 150
  mode                  tcp
  balance               roundrobin
  option                tcpka
  option                ssl-hello-chk
  timeout server        1800s
EOF

Запустить сервис:

#systemctl start haproxy

Проверить работу можно с помощью ldapsearch сделав один из серверов недоступным:

ldapsearch -x -h haproxy.testbc.testgl -b dc=testbc,dc=testgl uid=admin

Результат: ldap всегда доступен.