FreeIPA 无主机复制
FreeIPA no host replication
我在 IPA 服务器和副本(Centos 6.6 ipa-server-3.0.0)之间复制注册到 FreeIPA 的主机时遇到问题。
如果主机已注册到副本,我在 Master WEB 上看不到它 UI。尽管用户复制有效并且主机似乎在两个 DNS 记录中(在主服务器和副本服务器上)
这种行为使我无法从一个 WEB 管理用户和组 UI,因为我无法为界面中缺少的主机分配访问权限。
为了注册主机,我使用带有以下命令的 puppet:
/usr/sbin/ipa-client-install --realm DOMAIN.COM --password password1 --principal admin@DOMAIN.COM --mkhomedir --domain doamin.com --server master.domain.com --server replica.domain.com --enable-dns-updates --force --unattended
我尝试将该命令与 --force-join 和 --fixed-primary 一起使用,但结果是相同的:
该命令使用随机输出执行发现,即有时它会选择主其他时间副本服务器。
我是如何构建 master 的:
ipa-server-install --no-ntp --setup-dns --no-reverse --no-forwarders -n domain.com --hostname master.domain.com -p password1 -a password2 -r DOMAIN.COM
和副本:
ipa-replica-prepare replica.domain.com --ip-address 10.0.0.2
ipa-replica-install --setup-ca --setup-dns --no-forwarders /var/lib/ipa/replica-info-replica.domain.com.gpg
任何帮助将不胜感激,端口已按照 RedHat 手册打开。 ipa-replica-manage list 等 CLI 命令显示主从之间的良好关系。
无论如何,没有人能够帮助我,这让我有点失望。
我发现 dirsrv 的日志有以下错误:
sasl_io_recv failed to decode packet for connection
显然这是由于 IPA 中的一个错误,其中没有足够的内存分配给 nsslapd-sasl-max-buffer-size,它被设置为默认的 64KB
这是一张票 https://fedorahosted.org/389/ticket/47457。
人们希望 IPA 3.0.0 应该被修补来解决这个问题,但不幸的是没有。
由于找不到补丁,我不得不使用以下方法手动增加缓冲区大小:
检查缓冲区大小:
ldapsearch -b cn=config -D "cn=Directory Manager" -W | grep nsslapd-sasl-max-buffer-size
进入ldap命令行:
ldapmodify -D "cn=directory manager" -w password1 -p 389 -h 127.0.0.1 -x -a
修改条目(来自http://blog.christophersmart.com/):
dn: cn=config
changetype: modify
replace: nsslapd-sasl-max-buffer-size
nsslapd-sasl-max-buffer-size: 2097152
[enter key]
我在 IPA 服务器和副本(Centos 6.6 ipa-server-3.0.0)之间复制注册到 FreeIPA 的主机时遇到问题。
如果主机已注册到副本,我在 Master WEB 上看不到它 UI。尽管用户复制有效并且主机似乎在两个 DNS 记录中(在主服务器和副本服务器上)
这种行为使我无法从一个 WEB 管理用户和组 UI,因为我无法为界面中缺少的主机分配访问权限。
为了注册主机,我使用带有以下命令的 puppet:
/usr/sbin/ipa-client-install --realm DOMAIN.COM --password password1 --principal admin@DOMAIN.COM --mkhomedir --domain doamin.com --server master.domain.com --server replica.domain.com --enable-dns-updates --force --unattended
我尝试将该命令与 --force-join 和 --fixed-primary 一起使用,但结果是相同的:
该命令使用随机输出执行发现,即有时它会选择主其他时间副本服务器。
我是如何构建 master 的:
ipa-server-install --no-ntp --setup-dns --no-reverse --no-forwarders -n domain.com --hostname master.domain.com -p password1 -a password2 -r DOMAIN.COM
和副本:
ipa-replica-prepare replica.domain.com --ip-address 10.0.0.2
ipa-replica-install --setup-ca --setup-dns --no-forwarders /var/lib/ipa/replica-info-replica.domain.com.gpg
任何帮助将不胜感激,端口已按照 RedHat 手册打开。 ipa-replica-manage list 等 CLI 命令显示主从之间的良好关系。
无论如何,没有人能够帮助我,这让我有点失望。
我发现 dirsrv 的日志有以下错误:
sasl_io_recv failed to decode packet for connection
显然这是由于 IPA 中的一个错误,其中没有足够的内存分配给 nsslapd-sasl-max-buffer-size,它被设置为默认的 64KB
这是一张票 https://fedorahosted.org/389/ticket/47457。
人们希望 IPA 3.0.0 应该被修补来解决这个问题,但不幸的是没有。
由于找不到补丁,我不得不使用以下方法手动增加缓冲区大小:
检查缓冲区大小:
ldapsearch -b cn=config -D "cn=Directory Manager" -W | grep nsslapd-sasl-max-buffer-size
进入ldap命令行:
ldapmodify -D "cn=directory manager" -w password1 -p 389 -h 127.0.0.1 -x -a
修改条目(来自http://blog.christophersmart.com/):
dn: cn=config
changetype: modify
replace: nsslapd-sasl-max-buffer-size
nsslapd-sasl-max-buffer-size: 2097152
[enter key]