Всем привет! Установил из портов openldap (FreeBSD), написал perl скрипт, который собирает по ldap список пользователей из AD и создает их в openldap.Openldap:
- С поддержкой Berkeley DBПри повторном запуске объекты удаляются и создаются заного. Пользователей порядка 1500 удаляются не очень быстро и иногда все просто встает колом.
Можно ли как-то ускорить удаление? Например использовать openldap:
- ODBC With SQL backend+ MySQL или PostgreeSQL. Будет ли вообще толк или тупо понаставить sleep в скрипте.
>Всем привет! Установил из портов openldap (FreeBSD), написал perl скрипт, который собирает
>по ldap список пользователей из AD и создает их в openldap.
>
>
>Openldap:
>- С поддержкой Berkeley DB
>
>При повторном запуске объекты удаляются и создаются заного.зачем?
если я правильно понял, вы выстроили схему, при которой периодически (для поддержки актуальности, наверно) очищаете базу openLdap и заливаете срез на текущий момент пользователей из AD виндовс
.
если это то, что вам нужно, то правильнее писать скрипт, проверяющий - что изменилось в AD по сравнению с данными в openLdap и накатывать только измененияТолько ведь AD - сам по себе LDAP сервер, можно прикрутить авторизацию к нему. У меня в конторе, например, так авторизуется солярка ...
>[оверквотинг удален]
>актуальности, наверно) очищаете базу openLdap и заливаете срез на текущий момент
>пользователей из AD виндовс
>.
>если это то, что вам нужно, то правильнее писать скрипт, проверяющий -
>что изменилось в AD по сравнению с данными в openLdap и
>накатывать только изменения
>
>Только ведь AD - сам по себе LDAP сервер, можно прикрутить авторизацию
>к нему. У меня в конторе, например, так авторизуется солярка ...
>Да вы меня правильно поняли. OpenLDAP будет использоваться как адресная книга.
Ну правильней, но не проще. В моем понимании проще удалить все и создать все заного. Алгоритм у меня такой: Сначала выгружаю в ldif файлы данные из AD, потом по ldif файлам создаю объекты. Вот когда удаляешь они не сразу грохаются, так как объектов > 1000. Буду наверно маны по openldap тщательней изучать.
думаю, в вашем случае проще тушить сервис, удалять содержимое каталога с данными средствами операционной системы, поднимать сервис и заливать данные по новойоднако здесь обратите внимание, что в каталоге с данными в новых дистрибутивах пошла мода ложить файл параметров текущей БД, так вот его удалять не надо
>думаю, в вашем случае проще тушить сервис, удалять содержимое каталога с данными
>средствами операционной системы, поднимать сервис и заливать данные по новой
>
>однако здесь обратите внимание, что в каталоге с данными в новых дистрибутивах
>пошла мода ложить файл параметров текущей БД, так вот его удалять
>не надоЯ еще покурю маны, если ничего не найду просто буду удалять по частям и использовать sleep в perl скрипте.
>>думаю, в вашем случае проще тушить сервис, удалять содержимое каталога с данными
>>средствами операционной системы, поднимать сервис и заливать данные по новой
>>
>>однако здесь обратите внимание, что в каталоге с данными в новых дистрибутивах
>>пошла мода ложить файл параметров текущей БД, так вот его удалять
>>не надо
>
>Я еще покурю маны, если ничего не найду просто буду удалять по
>частям и использовать sleep в perl скрипте.Зачем изобретать велосипед? Почему не используешь АД напрямую?
>[оверквотинг удален]
>>>средствами операционной системы, поднимать сервис и заливать данные по новой
>>>
>>>однако здесь обратите внимание, что в каталоге с данными в новых дистрибутивах
>>>пошла мода ложить файл параметров текущей БД, так вот его удалять
>>>не надо
>>
>>Я еще покурю маны, если ничего не найду просто буду удалять по
>>частям и использовать sleep в perl скрипте.
>
>Зачем изобретать велосипед? Почему не используешь АД напрямую?1. Снижаем нагрузку на AD.
2. Поиск намного быстрее, так как меньше объектов
3. У нас куча филиалов в других городах проще 1 раз собрать инфу, чем каждый раз делать до них запросы.Может кто поделиться ссылкой с тонкой настройкой openldap ?
>[оверквотинг удален]
>>>частям и использовать sleep в perl скрипте.
>>
>>Зачем изобретать велосипед? Почему не используешь АД напрямую?
>
>1. Снижаем нагрузку на AD.
>2. Поиск намного быстрее, так как меньше объектов
>3. У нас куча филиалов в других городах проще 1 раз собрать
>инфу, чем каждый раз делать до них запросы.
>
>Может кто поделиться ссылкой с тонкой настройкой openldap ?1. А что она слишком большая?
2. У вас дестяки тысяч записей в АД
3. Один раз?Мне кажется вы что то не то делаете. Работал в фирме, так у нас филиалы по всему миру были. Количество людей 2000+, общая адресная книга, никаких тормозов и проблем.
>[оверквотинг удален]
>>
>>Может кто поделиться ссылкой с тонкой настройкой openldap ?
>
>1. А что она слишком большая?
>2. У вас дестяки тысяч записей в АД
>3. Один раз?
>
>Мне кажется вы что то не то делаете. Работал в фирме, так
>у нас филиалы по всему миру были. Количество людей 2000+, общая
>адресная книга, никаких тормозов и проблем.1. Сейчас 1500+ пока 4 филиала
2. Всего около 3500+
3. Одним разом точно не обойдешься. Любой сотрудник сможет вести поиск.Проводил полевые испытания напрямую к AD, даже к нашему DC намного медленне, чем к openldap.
За основу взял вот эту статью:
http://www.lissyara.su/?id=1938+ Свой perl скрипт для синхронизации в AD
Может ADAM использовать? Как вариант попробуй обращаться к GC# cat /etc/services | grep 3269
msft-gc-ssl 3269/tcp # Microsoft Global Catalog with LDAP/SSL
msft-gc-ssl 3269/udp
>Может ADAM использовать? Как вариант попробуй обращаться к GC
>
># cat /etc/services | grep 3269
>msft-gc-ssl 3269/tcp
>
> # Microsoft Global Catalog with
>LDAP/SSL
>msft-gc-ssl 3269/udpУстановил все это на боевом сервере под FreeBSD, пока не падало. Тестовый я на Виртуальном поднимал на своей машине под VirtualBox.