J'ai observé un comportement curieux sur un annuaire OpenLDAP, suite à la mise en place de nouveaux serveurs dans une topologie de réplication.

En parcourant l'annuaire avec un browser LDAP, le container / OU qui contient les comptes de services n'est plus visible... Alors qu'on peut toujours faire une requête LDAP pour trouver les comptes de services situés dans ce container.

Au départ, je pensais à une ACI, mais je n'arrivais pas à l'identifier. Et même en utilisant le compte administrateur (qui ne prend pas en compte les ACI), l'objet est toujours invisible.

Mise en place de la réplication dans OpenLDAP

La plupart du temps, les annuaires LDAP sont paramétrés avec une réplication entre deux serveurs, afin d'apporter une meilleure disponibilité ou permettre une montée en charge horizontale, via la mise en place d'un répartiteur de charge en frontal.

Situation de base

Un serveur installé en tant que master : openldap1.arciam.fr. Il écoute sur le port 389. L'overlay syncprov a été chargé en tant que module , via la configuration :

La mise en place d'une réplication de type miroir entre deux annuaires OpenLDAP est assez simple.

Une fois la mise en place effectuée, il s'agit de vérifier que la réplication se fait de manière satisfaisante. Car parfois, en cas de charge élevée sur l'un des annuaires, certaines transactions peuvent ne pas être propagées. Il est alors intéressant de savoir si les instances d'annuaires sont bien synchronisées, et comment les remettre d'aplomb si ce n'est pas le cas.