hab ne Frage Thema: LDAP zur Authetifizierung !!! Bottleneck: 1 OpenLDAP-Master only ( no slave ) Impact: Crash verursacht kaputte Datenbank zurUserAutentifizierung :-O Goal: Risiko-Abschätzung bei Blackout wie groß iust das Risiko einer DATENKORRUMPIERUNG bei Absturzs/Blackout , wenn es nur einen einzigen LDAP-Store gibt ?? ist dataloss hierbei statistisch hoch oder marginal ? wem von euch ist schon mal was in der Richtung passiert bzw eben nicht passiert gegenpunkt: Windows-Standalone-Server machens auch nicht anders -c- -- - "Oh Lord, give me chastity, but do not give it yet." -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
-----Ursprüngliche Nachricht----- Von: Christoph Resch [mailto:shanti@mojo.cc] Gesendet: Dienstag, 6. Februar 2007 00:31 An: opensuse-de@opensuse.org Betreff: Ldap safe from harm
hab ne Frage
Thema: LDAP zur Authetifizierung !!! Bottleneck: 1 OpenLDAP-Master only ( no slave ) Impact: Crash verursacht kaputte Datenbank zurUserAutentifizierung :-O Goal: Risiko-Abschätzung bei Blackout
wie groß iust das Risiko einer DATENKORRUMPIERUNG bei Absturzs/Blackout , wenn es nur einen einzigen LDAP-Store gibt ?? ist dataloss hierbei statistisch hoch oder marginal ?
wem von euch ist schon mal was in der Richtung passiert bzw eben nicht passiert
Passiert noch nicht aber du kannst mit Ldap-Mitteln eine brauchbare Replikation aufbauen. Ist meiner Meinung nach eh Pflicht. Gruß
Hi Ralf, Am Dienstag, 6. Februar 2007 07:11 schrieb ralf.prengel@comline.de:
Von: Christoph Resch [mailto:shanti@mojo.cc]
Passiert noch nicht aber du kannst mit Ldap-Mitteln eine brauchbare Replikation aufbauen. Ist meiner Meinung nach eh Pflicht.
Da kann man trefflich drüber streiten, ich hab da mal vor Jahren ein bischen
damit gespielt und bin zu der Überzeugung gekommen das man nur replizieren
sollte wenn es unabdingbar ist das der Dienst immer verfügbar ist oder aus
Performance Gründen. Wenn 10min. Ausfall tolerabel sind ist ein
slapadd
Hi Christoph, Am Dienstag, 6. Februar 2007 00:30 schrieb Christoph Resch:
hab ne Frage
Thema: LDAP zur Authetifizierung !!! Bottleneck: 1 OpenLDAP-Master only ( no slave ) Impact: Crash verursacht kaputte Datenbank zurUserAutentifizierung :-O Goal: Risiko-Abschätzung bei Blackout
wie groß iust das Risiko einer DATENKORRUMPIERUNG bei Absturzs/Blackout , wenn es nur einen einzigen LDAP-Store gibt ?? ist dataloss hierbei statistisch hoch oder marginal ?
wem von euch ist schon mal was in der Richtung passiert bzw eben nicht passiert
open ldap ist dafür bekannt das die db ab und an mal hops geht wenn der slapd in dem Moment gemeuchelt wird wenn er schreibt oder aber wenn der slapd ein kill -9 bekommt. Aber das ist kein wirkliches Problem - jedenfalls nicht bei mir, bei unserer Änderungsfrequenz auf den Teilen reicht es völlig in der crontab sowas wie das hier stehen zu haben: 0 16 * * * root /usr/sbin/slapcat >"/whereever/ldapsicherung-`date`.ldif" damit bekommt man den ldap immer wieder flott, sofern man eine Sicherung von diesem file und die slapd.conf (+ eventuelle zertifikat geschichten) hat. Bisher hab ich 2 DBs in ~7 Jahren (so lange läuft mind. einer davon) gekillt und jedesmal war ich eigentlich selber schuld ganz von alleine ist da noch nie was passiert. Die Frequenz könnte man noch erhöhen, wenn du bei 0 * * * * angekommen bist lohnt es sich über über online replikation nachzudenken, vorher imho nicht weil diese Art der Sicherung immer zusätzlich nötig ist. Das ist das Gleiche Problem wie eine DB-Sicherung einer SQL DB die man auch immer binär _und_ strukturell (als Export) durchführen sollte. Wenn man sich dieses ldif noch mehrere Tage aufhebt kann man sehr schön per diff die historie nachvollziehen, vor allem wenn mal wieder jemand neu lernt mit dem ldap umzugehen. Je nach Environment kann das natürlich auch gänzlich anders aussehen je nachdem wie akzeptabel der Ausfall des Dienstes für kurze Zeit ist und ob man im Zweifel die Änderungen an den Daten zwischen den Exporten nachvollziehen kann und muß. Gruss Falk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
damit bekommt man den ldap immer wieder flott, sofern man eine Sicherung von diesem file und die slapd.conf (+ eventuelle zertifikat geschichten) hat. Bisher hab ich 2 DBs in ~7 Jahren (so lange läuft mind. einer davon) gekillt und jedesmal war ich eigentlich selber schuld ganz von alleine ist da noch nie was passiert.
Hi Tnx 4 Reply .. na das hört sich ja gut an .. :-) -c- -- - "Oh Lord, give me chastity, but do not give it yet." -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Christoph Resch -
Falk Sauer -
ralf.prengel@comline.de