Linux集群认证

核心提示：当组织添加应用程序和服务时，将认证和密码服务集中化可以增加安全性、减少管理开销及开发人员的负担，Linux集群认证，但是，将所有服务聚集到单个服务器上会引起可靠性问题，跟踪引用和重新尝试更新是客户机的职责，OpenLDAP 没有内置方法来跨已复制服务器分发查询，对于企业认证服务，高可用性尤其关键

当组织添加应用程序和服务时，将认证和密码服务集中化可以增加安全性、减少管理开销及开发人员的负担。但是，将所有服务聚集到单个服务器上会引起可靠性问题。对于企业认证服务，高可用性尤其关键，因为在许多情况中，当认证停止工作时，整个企业都将陷入停顿。

我们使用 LDAP（轻量级目录访问协议，Lightweight Directory Access Protocol）服务器来提供认证服务，各种应用程序都可以订阅这些服务。为了提供高度可用的 LDAP 服务器，我们使用来自 Linux-HA（www.linux-ha.org）倡议的 heartbeat 软件包。我们也提供一个示例，设置 Apache Web 服务器以使用 LDAP 认证。

关于 LDAP 的一些背景知识

我们使用 OpenLDAP 软件包（ www.openldap.org），它是几种 Linux 分发版的组成部分。它随 RedHat 7.1 一起提供，其当前下载版本是 2.0.11。

RFC 的 2251 和 2253 中定义了 LDAP 标准。存在几种 LDAP 的商业实现，其中包括密歇根大学（University of Michigan）的实现和 Netscape 的实现。OpenLDAP 基金会是作为“为开发健壮的、商业级别的、功能完善和开放源码的 LDAP 应用程序与开发工具套件而协力完成的工作”创建的（请参阅 www.openldap.org）。OpenLDAP V1.0 于 1998 年 8 月发行。其当前主版本是 2.0（2000 年 8 月 31 日发布），添加了 LDAPv3 支持。

正如所有好的网络服务一样，LDAP 旨在跨多个服务器运行。本文使用了 LDAP 的两个特性 — 复制（replication）和 引用（referral）。

引用机制使您能跨多服务器分割 LDAP 名称空间，并能以层次结构的形式安排 LDAP 服务器。LDAP 在一个特定目录名称空间中只允许有一个主服务器。

复制由 OpenLDAP 复制守护程序 slurpd驱动。slurpd 定期醒来并检查主服务器上的日志文件，看是否有更新。更新随后被传递到从服务器。读请求可以由任一服务器应答，但更新只能在主服务器上进行。对从服务器的更新请求会生成一个引用消息，该消息会给出主服务器的地址。跟踪引用和重新尝试更新是客户机的职责。OpenLDAP 没有内置方法来跨已复制服务器分发查询，因此必须使用 IP 发射器（sprayer）／扇出（fanout）程序（如 balance）。