* [sisyphus] Новый openldap-2.4.45-alt3
@ 2017-12-26 23:22 Leonid Krivoshein
2017-12-28 7:55 ` Gleb Kulikov
0 siblings, 1 reply; 3+ messages in thread
From: Leonid Krivoshein @ 2017-12-26 23:22 UTC (permalink / raw)
To: sisyphus
Привет всем пользователями Сизифа!
Собран новый openldap-2.4.45-alt3. И готовится аналогичный для c7
(http://git.altlinux.org/tasks/197332/). Потому что это давно пора было
сделать и этого просят некоторые крупные заказчики (пользователи Альт
Линукс). Мы вынуждены двигаться вперёд ещё и потому, что старое ставит
палки в колёса масштабируемости таких решений, как АЛЬТ-ДОМЕН -- есть
сложности в реальных высоко нагруженных проектах. Предлагается два
важных изменения (нововведения), одновременно являющихся давней
рекомендацией апстрима.
ПЕРВОЕ: переход на более быстрый и более эффективный бэкэнд (L)MDB
по-умолчанию. Почитать об этом подробнее можно здесь:
https://pro-ldap.ru/tr/art/20130702-mdb/ . Изменение критичное, может
"поломать" что-то из следующего списка:
alt-domain-server
alterator-openldap
ldap-user-tools
MigrationTools
amavisd-new-ldap-server
А может что-то ещё. Не представляю только что, и как это проверить.
Главная проблема вот в чём: такие утилиты, как нечто из состава
alt-domain-server вполне могут изменять файл
/etc/openldap/slapd-hdb-db01.conf, но он хоть и остался, теперь не
используется, все значимые строки в нём закомментированы. Теперь вместо
него -- slapd-mdb-db01.conf, его синтаксис схож, но не полностью.
ВТОРОЕ: переход на конфигурационную директорию (OLC, cn=config DIT,
/etc/openldap/slapd.d) вместо конфигурационного файла
/etc/openldap/slapd.conf. Почитать об этом подробнее можно здесь:
https://pro-ldap.ru/tr/zytrax/ch6/slapd-config.html -- тут утверждают,
что многие дистрибутивы уже перешли на OLC по умолчанию. Не берусь это
подтверждать или опровергать, поскольку не знаю. Но поддержать хранилище
cn=config конечно нужно, к тому же пользователи об этом просят. Сначала
думал, что это не столь критичное изменение, и вряд ли чего "разломает".
Но сейчас вижу, что это может затронуть те же самые пакеты при условии,
что сисадмин уже перешёл на cn=config и далее пытается внести изменения
в настройки через GUI альтератора.
Предварительно я проверил новую сборку самого сервера openldap. Но, как
выявить и проверить всё остальное -- пока не представляю. Поэтому уже
поставлена задача нашим тестировщикам. Если ЗДЕСЬ есть кто-то, кому эта
штука знакома и представляется интересной, милости прошу к нашему шалашу! :)
ЛК
-------- Перенаправленное сообщение --------
Тема: [#197224] DONE (try 2) openldap.git=2.4.45-alt3
Дата: Fri, 22 Dec 2017 18:51:22 +0000
От: Girar Builder pender robot <girar-builder@altlinux.org>
Отвечать: klark@altlinux.org
Кому: Leonid Krivoshein <klark@altlinux.org>
http://git.altlinux.org/tasks/archive/done/_192/197224/logs/events.2.1.log
2017-Dec-22 17:40:14 :: task #197224 for sisyphus resumed by klark:
#100 build 2.4.45-alt3 from /people/klark/packages/openldap.git
2017-Dec-22 17:40:14 :: [x86_64] #100 openldap.git 2.4.45-alt3: build start
2017-Dec-22 17:40:14 :: [i586] #100 openldap.git 2.4.45-alt3: build start
...
2017-Dec-22 18:50:13 :: gears inheritance check OK
2017-Dec-22 18:50:13 :: srpm inheritance check OK
girar-check-perms: access to openldap DENIED for klark: does not belong
to approved builders list: @openldap
girar-check-perms: access to openldap ALLOWED for imz: member of
approved group
openldap: Update approved by imz
...
2017-Dec-22 18:51:13 :: updated /gears/o/openldap.git branch `sisyphus'
2017-Dec-22 18:51:22 :: gears update OK
2017-Dec-22 18:51:22 :: task #197224 for sisyphus DONE
--
Best regards,
Leonid Krivoshein.
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [sisyphus] Новый openldap-2.4.45-alt3
2017-12-26 23:22 [sisyphus] Новый openldap-2.4.45-alt3 Leonid Krivoshein
@ 2017-12-28 7:55 ` Gleb Kulikov
2017-12-28 21:07 ` Leonid Krivoshein
0 siblings, 1 reply; 3+ messages in thread
From: Gleb Kulikov @ 2017-12-28 7:55 UTC (permalink / raw)
To: ALT Linux Sisyphus discussions
В письме от 2017 December 27 (02:22:12) тов. Leonid Krivoshein написал:
> Привет всем пользователями Сизифа!
С Наступающим!
> ПЕРВОЕ: переход на более быстрый и более эффективный бэкэнд (L)MDB
А как с миграцией работающей базы?
--
С уважением, /GL
^ permalink raw reply [flat|nested] 3+ messages in thread
* Re: [sisyphus] Новый openldap-2.4.45-alt3
2017-12-28 7:55 ` Gleb Kulikov
@ 2017-12-28 21:07 ` Leonid Krivoshein
0 siblings, 0 replies; 3+ messages in thread
From: Leonid Krivoshein @ 2017-12-28 21:07 UTC (permalink / raw)
To: glebus, ALT Linux Sisyphus discussions
28.12.2017 10:55, Gleb Kulikov пишет:
> В письме от 2017 December 27 (02:22:12) тов. Leonid Krivoshein написал:
>> ПЕРВОЕ: переход на более быстрый и более эффективный бэкэнд (L)MDB
> А как с миграцией работающей базы?
Поскольку конфиги при обновлении пакета не перезаписываются, раз они уже
имеются в системе, автоматической миграции не будет, значит
пользователей BDB/HDB обновление пакета не затрагивает. Если же хочется
вручную мигрировать на MDB, это можно сделать так: с работающей базы
снять полную резервную копию:
# slapcat > directory.ldif
Затем остановить сервер и внести изменения в конфиги, как описано в
руководстве. Первый запуск сервера создаст чистую базу MDB. Теперь можно
выполнить восстановление всей базы:
# grep -vE '^(structuralObjectClass|entryUUID|creatorsName|createTimestamp|entryCSN|modifiersName|modifyTimestamp): ' direcory.ldif \
| ldapadd -x -D 'cn=ldaproot,dc=zags,dc=loc' -w 'MySecretPassword'
Такой вариант "ручной" миграции с Альт-Доменом я проверял -- всё
работало. Интересно, получится ли у вас. И хорошо бы понять, есть ли
смысл предусмотреть механизм автоматической миграции на MDB при
обновлении пакета (сильно в этом сомневаюсь).
В штатном slapd.conf есть такие строки:
moduleload back_hdb.la
# First database definition
include /etc/openldap/slapd-hdb-db01.conf
# Second database definition
include /etc/openldap/slapd-hdb-db02.conf
При переходе на MDB они становятся ненужными, их можно закомментировать,
а в качестве базы прописать свой конфиг MDB, например, как в новом
пакете:
http://git.altlinux.org/gears/o/openldap.git?p=openldap.git;a=blob;f=openldap-slapd-mdb-db01.conf;h=b8752c0674c3087fa2db4005c7ff648baf2aab35;hb=b7c54e53ac033c20465eca670155921312f560b8
Это связано с тем, что бэкэнд MDB уже встроен, подгружать для него
модуль не требуется. При ручной миграции лучше сохранить и конфиг старой
базы, и директоррию, а новую MDB базу создать в отдельной директории.
Это позволит вернуться обратно на HDB, если что-то пойдёт не так.
--
Best regards,
Leonid Krivoshein.
^ permalink raw reply [flat|nested] 3+ messages in thread
end of thread, other threads:[~2017-12-28 21:07 UTC | newest]
Thread overview: 3+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2017-12-26 23:22 [sisyphus] Новый openldap-2.4.45-alt3 Leonid Krivoshein
2017-12-28 7:55 ` Gleb Kulikov
2017-12-28 21:07 ` Leonid Krivoshein
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git