Vorgeschichte
Um den Umstieg von 6.2 -> 7 vorzubereiten, ist unser Mailserver ausgezogen und wohnt jetzt als die hier beschriebene Dockerlösung im Internet. Das funktioniert gut. Der hausinterne LDAP ist mit einem autossh-tunnel an die Dockerlösung angebunden und funktioniert auch stabil.
Jetzt benötige ich einen replizierten OpenLDAP: Alle 24h kappt die Telekom die DSL-Leitung. Das ist doof: kommt in diesem Moment eine Mail, ist der Ldap nicht erreichbar und die Mail wird von Postfix als „User unknown“ abgewiesen. Auch bei der Umstellung von 6.2 -> 7 ist ein funktionierender Replikant sicher eine gutes Ruhekissen.
Was ich tat
Ich habe mich an die Anleitung aus dem Wiki gehalten (https://wiki.linuxmuster.net/community/anwenderwiki:erweiterungen:ldap-replikation). Als Replikationsbenutzer, der die Replikation durchführt, habe ich den rootdn (admin) genommen. Beide sind auf Provider und Consumer identisch in Name und PW.
Ergebnis
Der Replikant (Consumer) synchronisiert erfolgreich, jedoch nicht vollständig: Die UserPasswörter fehlen.
Diskussion
- Nach Google ist dies häufig ein ACL-Problem: Der Replikationsbenutzer darf die Passwörter nicht vom Provider lesen oder nicht in den Consumer schreiben. Das ist hier nicht der Fall, da ja der rootdn genutzt wird. Mit dem passenden ldapsearch (ldapsearch -x -H „ldap://172.17.0.1:3890“ -D „cn=admin,dc=lokal,dc=carl-bosch-oberschule,dc=de“ -w „uid=fh“) sehe ich die UserPasswords im Ergebnis.
- Es gibt/gab einen Bug: Syncst du einmal ohne passende ACL mit einem Replikationsbenutzer der UserPasswords nicht lesen darf, wird auch bei Löschen der Datenbank das PW nicht gesynct. Das habe ich ausgeschlossen, indem ich einen neuen Server (Ubuntu Bionic) aufgesetzt habe. Hier zeigt sich dasselbe Verhalten.
-Die Holzhammer-Methode funktioniert:
provider: $ slapcat -l data.ldif
provider: $scp data.ldif root@consumer:
consumer: $ slapadd data.ldif
Wer hat eine Idee woran dies Verhalten liegt? Bei wem klappt die Replikation von LML 6.2 -> auf ein Ubuntu 20.04?