У меня есть сервер OpenDirectory, работающий на машине OSX Server, и я хотел бы повысить надежность службы за счет наличия подчиненного сервера. Проблема в том, что у меня только 1 сервер OSX, но у меня много доступных серверов Linux. Я доволен инструментами Apple, которые интегрируются с OpenDirectory, но, учитывая недавнее прекращение Apple XServe, я не особо заинтересован в продолжении использования оборудования Apple.
Я помню, как слышал, что OpenDirectory (теперь уже отдаленно) основан на кодовой базе OpenLDAP; Есть ли способ репликации из OpenDirectory в OpenLDAP вместо того, чтобы покупать другой сервер OSX?
Вроде, как бы, что-то вроде. Домен Open Directory на самом деле представляет собой три полуинтегрированных сервиса: LDAPv3 для большинства данных (предоставляемый довольно стандартным сервером OpenLDAP), Kerberosv5 KDC для аутентификации с единой регистрацией (предоставляемый реализацией Kerberos MIT с некоторыми изменениями) и SASL- сервер паролей на основе для других типов аутентификации (предоставляемый чем-то, по крайней мере частично, на основе проекта CMU SASL).
Репликация компонента LDAP не должна быть слишком сложной - настройте syncrepl, как и в любой другой реализации OpenLDAP, затем добавьте URL-адреса дополнительных серверов в качестве значений атрибута apple-ldap-replica для cn = ldapreplicas, cn = config, какая база поиска есть запись в LDAP (это сообщает клиентам о реплике (ах).
Служба паролей и Kerberos намного сложнее. Насколько я могу судить, Apple значительно расширила код CMU SASL, поэтому я не думаю, что его можно будет скопировать без огромных усилий. С Kerberos было бы легко ... за исключением того, что это зависит от сервера паролей для репликации (серверы паролей в сети реплик обновляют друг друга о новых паролях, а затем каждый отвечает за обновление Kerberos KDC на том же сервере). Обратите внимание, что в cn = config также есть записи LDAP, сообщающие клиентам, где находятся все доступные серверы паролей и KDC; Протокол Kerberos довольно очевиден, но сервер паролей сложнее разобрать.
Таким образом, вы можете выполнить репликацию LDAP, но я не думаю, что сервер паролей и реплики KDC практичны. И если у вас нет резервных копий этих сервисов, репликация LDAP не принесет особой пользы.
Если вас беспокоит просто время безотказной работы, как насчет добавления одного из серверов Mac Mini в качестве реплики? Они ни в коем случае не подходят для обслуживания с высокой пропускной способностью, но в качестве аварийного резервного копирования я бы счел их просто идеальным вариантом.