В настоящее время у меня есть каталог LDAP (OpenLDAP), который выполняет аутентификацию для множества служб, работающих на нескольких серверах.
Допустим, базовое DN - dc = oldcompany, dc = com.
Теперь я хотел бы изменить это на dc = newcompany, dc = com с минимальным временем простоя служб, которые от него зависят.
Есть ли способ настроить «псевдоним» или что-то в этом роде, чтобы мои службы могли получать доступ к каталогу как через старый, так и через новый DN, пока я все перенастраиваю?
Какие еще альтернативы мне следует рассмотреть? Есть ли какая-нибудь хорошая документация для других, выполняющих такое переименование? Мой Google-foo ничего не может найти.
Этот вид операций не поддерживается.
Если бы это делал я, я бы установил окно изменений, сделал бы полный экспорт всего, используя slapcat (вывод будет в LDIF), используйте sed для переназначения данных (что-то вроде sed -i 's/dc=oldcompany,dc=com/dc=newcompany,dc=com/g' backupfile), импортируйте данные на новый сервер LDAP, а затем замените старый сервер LDAP новым.
На самом деле нет эквивалента записи DNAME DNS в LDAP. Концептуально для этого можно использовать отсылки, но я не вижу такого использования в стандарте (RFC3296), и я не уверен, что результаты наличия как данных, так и перехода под DN определены. Более того, даже если бы это сработало, у вас все равно было бы переключение и минимальные возможности для тестирования, поэтому вам не следует делать это и вместо этого сокращать, как указано выше.