Tady jsem jen chtěl napsat, že když Ti u té proxy spadne ta proxy, tak je to horší než když Ti u řešení bez proxy spadne jeden z těch LDAPů, protože aspoň nějaké služby Ti pojedou.

No, tak snad jsem spravne pochopil, co mas mysli. Myslis, ze pojedu vsechny sluzby pres tu proxy? Ale tak ja to samozrejme nemyslim. Systemy, ktere umoznujou konfiguraci s vice LDAP serverama, samozrejme budou mit oba LDAP servery zadany, cili takovy systemy pojedou primo na oba servery bez proxy a predpokladam, ze si pripadny vypadek jednoho (hlavniho) LDAP serveru vyresi sami. Cili, cinnost proxy neovlivnuje funkci systemu s konfiguraci obou LDAP serveru.

Tuhle proxy protrebuju jenom pro ty systemy, ktery umoznujou zadani pouze jednoho jedineho LDAP serveru. Pokud bych zadal jenom jeden server a ten pak lehnul, budu muset prekonfigurovat X systemu, coz muze jednak trvat a pak nektery sluzby se musi po rekonfiguraci restartovat, a SSL-Explorer se dokonce musi zastavit, spustit install mod a pak zase nastartovat. A protoze je SSL-Explorer tomcat aplikace, tak zastaveni a startovani bere asi tak 30 sekund az minutu a je to docela neprijemna zalezitost.

Takhle budu mit jednu adresu na proxy. Pokud padne hlavni server, mela by proxy zacit prepojovat na zalozni server. A pokud padne proxy, muzu ji zatim rucne nahodit na zaloznim XEN serveru (pripadne bude i jednoduche tu proxy pripadne rozchodit kdekoliv jinde, diky tomu, ze je tak jednoducha a navod mam uz ve wiki) a pozdeji muzu zaprahnout heartbeat na X serveru a pri vypadku hlavni proxy se muze jakykoliv jiny server (diky jednoduchosti) stat nahradnim proxy serverem. A je urcite jednodussi resit konfiguraci na jednom serveru, nez resit zmeny konfiguraci na nekolika ruznych serverech s ruznyma typama konfiguraci.

Ted me napadla jeste dalsi myslenka: tech proxyn by mohlo byt vic a nejaky skriptik (nebo primo heartbeat) by mohl monitorovat jejich stav a pri vypadku hlavni proxy by zmenil pouze DNS zaznam na druhou proxy nebo by na prislusne dalsi zalozni proxy aktivoval to IPcko. Tech reseni je samozrejme vic, vzdycky bude nejake misto k vypadku, ale timhle minimalizuju pocet tech mist a tim zkracuju dobu pro opravu a snizuju slozitost opravy.

A vida, IPVS. Urcite si to budu pamatovat a pokud budu potrebovat, tak pouziju.

Pokud jsem ale dobre cetl, tak se dela pouze redirect. To by v pripade LDAP stacilo, ale LDAPS by mel problem, protoze oba LDAP servery maji pro SSL komunikaci ruzne certifikaty, takze by to hlasilo problemy a ja potreboval neco spis mit v zaloze (zatim mam sluzby na jeden z hlavnich serveru, ale prekonfiguruju to).

Ale diky za info, bude se to hodit.

nevim, jak by se Sun-DS romluvil s openldapem na tej replice (mozna by to chodilo)

Domluvili by se- o tom přece LDAP je, že protokol a syntaxe každého bajtu na drátě je striktně specifikovaná. Jiná věc je že openldap je zavšivenej feature bloatem, nestabilní, a dosti padavej.

Jo, taky doufam. Nicmene se podivej na schema SunDS a OpenLDAPu. Trosku jsem tam koukal a nejaky rozdily tam jsou. Ono by to melo fungovat stejne, ale prece jenom drobny rozdily tam bohuzel jsou.

Nechapu, co bys delal tim rsyncem, dyztak se rozepis, protoze

No podle toho k čemu ten LDAP používáte. Jestli je to pro místní loginy, tak nevím proč by nemohlo stačit synchronizování /etc/{passwd,group,shadow,gshadow}, buď po každé změně, nebo v pravidelných intervalech. Pokud je to něco většího, tak jde na straně zdroje dat (nějaký DBMS) pravidelně generovat nějakou file-based databázi (GDBM, BDB, CDB..), tu rsync-nout kam je potřeba, a daemonu poslat SIGHUP, aby si otevřel nový soubor.

Ano, mam to pro loginy, dale pro SSH klice uzivatelu a sudoers. Nekteri uzivatele jsou pouze inetOrgPerson, protoze nepotrebuji posixAccount. Dale mame skupiny - nektere systemy jsou radsi pro groupOfUniqueNames, nektere (PAM pam_access) mam jako posixGroup. Limituju tim pristup na ssh, sudo, cron, vmware-server-console.

Sice tvuj navrh reseni by taky mozna schudny byl, mozna by bylo lepsi pouzit radsi NIS, ale zda se mi to zbytecne komplikovane. Nahlaseni na jednu masinu, zmena /etc/passwd, group atd OK. Potom spustit nejakej rsync, kterej to bude muset rozkopirovat na 20-30 serveru, netusim, jak bych to kopiroval do systemu, ktery nepodporuje lokalni /etc/passwd, group, napr. JIRA tusim ma bud vlastni DB nebo LDAP. Navic, pokud se na nejakem serveru synchronizace nepodari, mam zadelano na problemy. A pak jeste pripadne delat nejaky restarty, aby ten system vubec zjistil, ze doslo ke zmene uzivatelu. V LDAPu udelam uzivatele a je videt ve vsech systemech, kde ma byt videt. Mam rsync taky rad, ale zrovna v tomhle pripade se mi to zda moc krkolomny.

nechapu ani na sprave uzivatelu a skupin a autentizaci nic s bootstrapem, rejectama a nejakyma zhuverilostma.

Možná že Sun-DS je na správu lepší než openldap a tyhle problémy odpadají, ale s openldapem bylo vždycky moc a moc problémů. Třeba přidání repliky je dost problém. Shodit master, udělat slapcat, zkopírovat LDIF na repliku, tam slapadd-em naplnit databázi, a znovu všechno spustit může pro větší DB trvat klidně několik hodin, a tak dlouhý výpadek si nemůžeš dovolit, takže inicializaci repliky je třeba dělat za provozu, takže updaty se na ně mohou dostat víckrát (naštěstí jsou v LDAPu modifikace nezávislé na počtu jejich přehrání), a na masteru se objeví rejecty, které je třeba ručně zkontrolovat jestli je to důsledek duplikace, nebo známka poškození databáze.. tohle jsem měl na mysli. Tohle všechno při rsyncu odpadá.

Aha. No, mame na Sun-DS master-master replikaci mezi 4 serverama a tam se to nastavuje fakt jednoduse. A snad to i beha stabilne. Druha moznost by samozrejme bylo udelat jenom jeden server master a ostatni pouze read-only kopie (coz by bylo vlastne to reseni s rsyncem), a pri padu master LDAPu prepnout nejakej RO do RW a udelat z nej master s replikaci na dalsi. Ona replikace je obecne dost choulostiva na spravny postup, delal jsem uz replikaci master-master na MySQL a to bylo taky o hubu, kdyz clovek neco spusti ve spatnym poradi. Vyhoda Sun-DS a inicializace replikace je v tom, ze tu inicializaci udelas za provozu, takze zadna odstavka.

Rsyncem resime konfigurace ruznych systemu (squid, bind, dhcp) - po uprave kodu se spusti skript, kterej zkonroluje spravnost configu (napr. squid - k parse) a kdyz je to OK, tak syncne na dalsi servery a reloaduje. Pro squid jsem to udelal oboje master, takze je jedno, kde se cfg zmeni, skript to posle na spravny druhy server.

Jinak jsem uz videl konfigurace DHCP i DNS v LDAPu - nebylo to spatny, akorat pri zmene udaju v LDAPu se musel daemon restartovat - u PowerDNS to byla tusim jenom data, takze tam se reload nedelal, ale u DHCP se musel reload delat.