OpenLDAP зеркально отражают репликацию режима, переставшую работать с TLS позади подсистемы балансировки нагрузки
Вы могли просто выполнить команду usermod -p '_hash_' root где хеш является хешем пароля, подходящего для той системы. Так команда как usermod -p '$1$aNwwp0wS$RzSqCt3ntYs.V2TxcXheA' root заставил бы корень иметь пароль password.
Если бы Вы хотите сделать это правильный путь, Вы также генерировали бы уникальную соль и уникальный хеш для каждой системы. Если это установлено, можно использовать mkpasswd с этой целью.
$ # create a md5 password has for 'password'
$ echo 'password' | mkpasswd -s -m md5
$1$mJrKn6xs$NTfRbrqbaVzsqcPzyXXt3/
PS Лично я предпочитаю устанавливать корень, чтобы иметь отключенный пароль и затем использовать ssh основанную на ключе аутентификацию для любого доступа к корневой учетной записи. Необходимо смочь создать себя сценарий довольно легко для автоматизации обновления корня authorized_keys файл. В зависимости от Вашего уровня журнала SSH Вы будете также видеть, какой ключ использовался для доступа к корневой учетной записи, это может быть полезно для разыскивания, кто повредил что-то.
Как указано в 16.5.3. Конфигурация MirrorMode ,
Также необходимо убедиться, что rid каждой пары зеркальных узлов разные ...
Итак, на ldap2 измените rid = 001 на rid = 002 .
Починил это. Было две проблемы.
1) В CSR сертификата четко указаны альтернативные имена субъектов для двух отдельных серверов LDAP. Я подписал его, используя обычную команду openssl, которую использую для подписи, и никогда не проверял сам сертификат. Оказывается, на сертификате не было альтернативных имен субъектов, потому что для них требуются специальные расширения v3. Вот команда, которую я использовал.
openssl x509 -req -days 3650 -in ldap.csr -signkey ldapskey.pem -out cert.pem -extensions v3_req -extfile /etc/ssl/openssl.cnf
2) УДАЛЕННЫЙ пароль, который у меня был в моей директиве olcSyncrepl, на самом деле был хешем SSHA. Похоже, это не круто. Я заменил хэш SSHA паролем в виде открытого текста.
Да, и я также очистил оверлеи syncprov, так что только один оверлей существовал в каждой из реальных баз данных, а не в базах данных конфигурации.
Кстати, я нашел сообщение Говарда Чу, в котором он сказал, что избавление от проблем должно быть уникальным в пределах конфигурации сервера, а не в пределах вашей зеркальной конфигурации, охватывающей серверы. Итак, похоже, что rid может быть 001 на обоих серверах, но в любом случае я оставил его 001 и 002, и это никому не вредит.
потому что для этого требуются специальные расширения v3. Вот команда, которую я использовал.openssl x509 -req -days 3650 -in ldap.csr -signkey ldapskey.pem -out cert.pem -extensions v3_req -extfile /etc/ssl/openssl.cnf
2) УДАЛЕННЫЙ пароль, который у меня был в моей директиве olcSyncrepl, на самом деле был хешем SSHA. Похоже, это не круто. Я заменил хэш SSHA паролем в виде открытого текста.
Да, и я также очистил оверлеи syncprov, так что только один оверлей существовал в каждой из реальных баз данных, а не в базах данных конфигурации.
Кстати, я нашел сообщение Говарда Чу, в котором он сказал, что избавление должно быть уникальным в пределах конфигурации сервера, а не в пределах вашей зеркальной конфигурации, охватывающей серверы. Итак, похоже, что rid может быть 001 на обоих серверах, но в любом случае я оставил его 001 и 002, и это никому не вредит.
потому что для них требуются специальные расширения v3. Вот команда, которую я использовал.openssl x509 -req -days 3650 -in ldap.csr -signkey ldapskey.pem -out cert.pem -extensions v3_req -extfile /etc/ssl/openssl.cnf
2) УДАЛЕННЫЙ пароль, который у меня был в моей директиве olcSyncrepl, на самом деле был хешем SSHA. Похоже, это не круто. Я заменил хэш SSHA паролем в виде открытого текста.
Да, и я также очистил оверлеи syncprov, так что только один оверлей существовал в каждой из реальных баз данных, а не в базах данных конфигурации.
Кстати, я нашел сообщение Говарда Чу, в котором он сказал, что избавление должно быть уникальным в пределах конфигурации сервера, а не в пределах вашей зеркальной конфигурации, охватывающей серверы. Итак, похоже, что rid может быть 001 на обоих серверах, но в любом случае я оставил его 001 и 002, и это никому не вредит.
openssl x509 -req -days 3650 -in ldap.csr -signkey ldapskey.pem -out cert.pem -extensions v3_req -extfile /etc/ssl/openssl.cnf
2) УДАЛЕНО пароль, который у меня был в моей директиве olcSyncrepl, на самом деле был хешем SSHA. Похоже, это не круто. Я заменил хэш SSHA паролем в виде открытого текста.
Да, и я также очистил оверлеи syncprov, так что только один оверлей существовал в каждой из реальных баз данных, а не в базах данных конфигурации.
Кстати, я нашел сообщение Говарда Чу, в котором он сказал, что избавление должно быть уникальным в конфигурации сервера, а не в пределах вашей зеркальной конфигурации, охватывающей серверы. Итак, похоже, что rid может быть 001 на обоих серверах, но в любом случае я оставил его 001 и 002, и это никому не вредит.
openssl x509 -req -days 3650 -in ldap.csr -signkey ldapskey.pem -out cert.pem -extensions v3_req -extfile /etc/ssl/openssl.cnf
2) УДАЛЕНО пароль, который у меня был в моей директиве olcSyncrepl, на самом деле был хешем SSHA. Похоже, это не круто. Я заменил хэш SSHA паролем в виде открытого текста.
Да, и я также очистил оверлеи syncprov, так что только один оверлей существовал в каждой из реальных баз данных, а не в базах данных конфигурации.
Кстати, я нашел сообщение Говарда Чу, в котором он сказал, что избавление должно быть уникальным в конфигурации сервера, а не в пределах вашей зеркальной конфигурации, охватывающей серверы. Итак, похоже, что rid может быть 001 на обоих серверах, но в любом случае я оставил его 001 и 002, и это никому не вредит.
так что только один оверлей существовал в каждой из фактических баз данных, а не в базах данных конфигурации.Кстати, я нашел сообщение Говарда Чу, в котором он сказал, что избавление должно быть уникальным в конфигурации сервера, а не в пределах вашей зеркальной конфигурации, охватывающей серверы. Итак, похоже, что rid может быть 001 на обоих серверах, но в любом случае я оставил его 001 и 002, и это никому не вредит.
так что только один оверлей существовал в каждой из фактических баз данных, а не в базах данных конфигурации.Кстати, я нашел сообщение Говарда Чу, в котором он сказал, что избавление должно быть уникальным в пределах конфигурации сервера, а не в пределах вашей зеркальной конфигурации, охватывающей серверы. Итак, похоже, что rid может быть 001 на обоих серверах, но в любом случае я оставил его 001 и 002, и это никому не вредит.