Plugin LDAP/Active Directory Bacula Enterprise – Guía Rápida

Esta guía rápida proporciona técnicas y estrategias para la copia de seguridad de los servidores LDAP y Microsoft AD con el complemento Bacula Enterprise Edition.

El plug-in de LDAP / AD está diseñado para realizar una copia de seguridad y restauración granulares de objetos, y el soporte para copias de seguridad incrementales, diferenciales y completas.

Utiliza el protocolo de red y el esquema predeterminado de LDAP para buscar y buscar objetos, de modo que pueda soportar una variedad de servidores LDAP diferentes, además de OpenLDAP.

El método de plug-in de LDAP / AD es client-less y no es necesario que se instale en el equipo LDAP o Windows Active Directory. La máquina del Bacula Server o cualquier otro Linux con una conexión de red con el servidor LDAP o Microsoft Active Directory se puede utilizar para realizar la copia de seguridad y la restauración de objetos granulares.

El plug-in soporta la configuración Accurate (Precisión) de Job Bacula (búsqueda de objetos excluidos), comunicación ldaps (SSL) con el servidor LDAP y los servidores MS Active Directory Windows 2003, Windows 2008 y superior.

Instalación

Los paquetes están disponibles para RedHat Enterprise y Debian/Ubuntu. Póngase en contacto para recibirlos.

Instale el complemento en una máquina con un Daemon de archivo Bacula (cliente) en funcionamiento y con una conexión de red con el servicio LDAP o MS Active Directory. Por ejemplo.:

rpm -ivh bacula-enterprise-ldap-plugin

Reinicie el cliente Bacula (service bacula-fd restart), para que el demonio pueda cargar el plugin recién instalado.

Configuración

Para utilizar el plugin LDAP / MSAD, debe configurar un archivo en el equipo de demonios de archivos que utiliza el plugin. Contiene parámetros de conexión del servidor LDAP/MSAD.

El archivo de configuración predeterminado se encuentra en:

  • /opt/bacula/etc/ldap.conf para el complemento LDAP y
  • /opt/bacula/etc/msad.conf para el complemento MSAD.

Y su contenido debe ser similar a estos:

#
# Sample config file for the ldap plugin /opt/bacula/etc/ldap.conf
#
LDAPURI = "ldap://192.168.0.100/"
BINDDN = "cn=backup,dc=acme,dc=com"
BINDPASS = "PASSW0RD"
BASEDN = "dc=acme,dc=com"

#
# Sample config file for the msad plugin /opt/bacula/etc/msad.conf 
#
LDAPURI = "ldap://10.41.101.1/"
BINDDN = "Administrator@domain" # o domainAdministrator
BINDPASS = "password"
BASEDN = "dc=domain,dc=com"

Puede llamar a un archivo de configuración diferente en cada opción de opción de Plugin FileSet para realizar copias de seguridad de diferentes bases de servicios de directorio.

El complemento requiere una cuenta LDAP/MSAD con permisos para consultar y leer objetos para la copia de seguridad. Esta cuenta puede ser una cuenta de administrador o una cuenta de usuario con una función de copia de seguridad.

BASEDN es el sitio base (DN) para la copia de seguridad, puede ser un árbol raíz del servidor ldap o algún otro subárbol.

Los plug-ins LDAP/MSAD crean un espacio de nombres virtual en el catálogo Bacula, que consiste en los prefijos «ldap:» o «msad:» y en el árbol DN como árbol de directorios.

Como alternativa, los parámetros del archivo de configuración se pueden definir en las opciones del complemento Bacula FileSet. Sin embargo, el manejo de caracteres especiales en la contraseña del usuario de vinculación LDAP/MSAD puede ser más complicado.

Prueba de Conexión

Para probar los parámetros de conexión para Microsoft AD, puede utilizar el siguiente comando LDAP en el shell:

ldapsearch -LLL -x -H 'ldap://10.41.101.1/' -D 'Administrator@domain' 
-w 'password' -b 'DC=domain,DC=com' '(objectClass=*)'

Nota: los complementos LDAP/MSAD ejecutan una consulta de base única para buscar todos los archivos para copia de seguridad, pero la configuración predeterminada de los servidores LDAP y MS AD limita el número de registros devueltos por una sola consulta. Esto limita el número de registros que Bacula obtiene para copia de seguridad. En consecuencia, para garantizar la copia de seguridad adecuada de los servidores LDAP o MS AD, el administrador debe aumentar este límite. El cambio de configuración necesario depende del tipo y la versión del servidor LDAP o MS AD. El servidor predeterminado de Active Directory está limitado a 1000 registros. Esto significa que si realiza una búsqueda LDAP desde la línea de comandos o desde una aplicación, el conjunto de resultados se limitará a 1.000 resultados. El administrador de AD debe aumentar el límite con Ntdsutil.exe. Compruebe el parámetro MaxPageSize.

Configuración de FileSet

Al definir toda la información de conexión LDAP en el archivo de configuración (/opt/bacula/etc/ldap.conf), debe utilizar el archivo en el archivo de configuración para permitir el uso del complemento LDAP. Esta configuración también se puede hacer usando bweb.

FileSet {
  Name = "FS_LDAP"
  Include {
    Plugin = "ldap"
  }
}

También puede especificar un archivo de configuración diferente en la línea de comandos, como se muestra a continuación:

Plugin = "ldap: config=/tmp/ldap.conf"

El siguiente FileSet no utiliza un archivo de configuración, pero intenta pasar todas las directivas necesarias al plugin:

Plugin = "msad: ldapuri=ldap://172.23.60.50 binddn=bacula\hfaria bindpass=password basedn="dc=bacula,dc=com,dc=br""

Como se muestra en la Figura 1, todas estas configuraciones de FileSet también se pueden ejecutar con Bacula bweb. En este caso, no es necesario el escape de caracteres especiales.

Plugin LDAP/Active Directory Bacula Enterprise – Guía Rápida 1

Figura 1. Configuración del Plugin Bweb LDAP/MSAD

Opciones del Plugin

La Tabla 1 muestra y describe todas las opciones del plugin.

Opción Default Descripción
config /opt/bacula/etc/ldap.conf
y
/opt/bacula/etc/msad.conf
El archivo de configuración del complemento LDAP
ldapuri El identificador de usuario LDAP URI parámetro para conectarse al servidor de servidor
binddn Nombre de usuario del backup en LDAP
bindpass Contraseña de usuario de backup en LDAP
basedn Una ubicación base (DN) para la copia de seguridad, podría ser la raíz del servidor ldap o algún subárbol

Tabla 1. Opciones del complemento LDAP/MSAD

Configuración y Prueba de Jobs

Cree un trabajo de copia de seguridad que utilice el archivo de copia de seguridad LDAP/MSAD recién creado y el mismo cliente que tenga instalado el complemento cargado.

Puede probar el trabajo de copia de seguridad y archivado con el comando de estimación de Bacula. Por ejemplo:

* estimate listing job=pluginTest level=Full
Using Catalog "MyCatalog"
Connecting to Client 127.0.0.1-fd at 127.0.0.1:8102
drwxr-xr-x 1 root root   585 2014-03-25 10:12:22 ldap:/dc=com/dc=bacula/dc=database5926/
-rw-r--r-- 1 root root   542 2014-03-25 10:12:22 ldap:/dc=com/dc=bacula/dc=database5926/cn=root
-rw-r--r-- 1 root root   535 2014-03-25 10:12:22 ldap:/dc=com/dc=bacula/dc=database5926/cn=test
2000 OK estimate files=3 bytes=1,077

Restauración

Para restaurar un único objeto o un árbol entero, necesita un servidor LDAP o MSAD en funcionamiento. Los complementos LDAP y MSAD no están diseñados para procedimientos de recuperación de desastres en los que el servidor LDAP o MSAD puede no ser funcional. Para la recuperación de desastres de un servidor MSAD, puede utilizar el complemento Bacula Enterprise VSS.

Los objetos LDAP y MSAD se restauran como archivos regulares con el comando «restore» de Bacula bconsole, o gráficamente con BAT o incluso bweb. Por ejemplo:

cwd is: /
$ cd ldap:/dc=com/dc=bacula
cwd is: ldap:/dc=com/dc=bacula/
$ dir
-rw-r--r-- 1 root root 568 2012-03-17 08:44:34 ldap:/dc=com/dc=bacula/cn=admin
drwxr-xr-x 1 root root 480 2012-03-11 19:30:55 ldap:/dc=com/dc=bacula/ou=Accounting/
drwxr-xr-x 1 root root 491 2012-03-11 19:28:49 ldap:/dc=com/dc=bacula/ou=Administrative/
drwxr-xr-x 1 root root 494 2012-03-11 19:28:49 ldap:/dc=com/dc=bacula/ou=Human Resources/
drwxr-xr-x 1 root root 479 2012-03-11 19:28:49 ldap:/dc=com/dc=bacula/ou=Janitorial/
drwxr-xr-x 1 root root 479 2012-03-11 19:32:18 ldap:/dc=com/dc=bacula/ou=Management/
drwxr-xr-x 1 root root 470 2012-03-11 19:28:49 ldap:/dc=com/dc=bacula/ou=Payroll/
drwxr-xr-x 1 root root 464 2012-03-11 19:28:49 ldap:/dc=com/dc=bacula/ou=Peons/
drwxr-xr-x 1 root root 506 2012-03-11 19:30:55 ldap:/dc=com/dc=bacula/ou=Product Development/
drwxr-xr-x 1 root root 494 2012-03-11 19:28:49 ldap:/dc=com/dc=bacula/ou=Product Testing/
drwxr-xr-x 1 root root 450 2012-03-05 20:55:47 ldap:/dc=com/dc=bacula/ou=groups/
drwxr-xr-x 1 root root 448 2012-03-06 14:11:20 ldap:/dc=com/dc=bacula/ou=hosts/
drwxr-xr-x 1 root root 450 2012-04-10 10:48:32 ldap:/dc=com/dc=bacula/ou=people/
$ add "ou=Product Testing"
121 files marked.
$ cd ou=people
cwd is: ldap:/dc=com/dc=bacula/ou=people/
$ dir
-rw-r--r-- 1 root root 1006618 2012-04-10 10:48:32 ldap:/dc=com/dc=bacula/ou=people/uid=john
$ add *
1 file marked.

Puede cambiar el subárbol de restauración utilizando un parámetro «where =» durante el comando restore. Debe contener un DN de reubicación, por ejemplo:

where = "dc=restore,dc=example,dc=com"

Referencia

LDAP/MSAD Plugin – Bacula Enterprise Edition. http://baculasystems.com

Disponível em: pt-brPortuguês (Portugués, Brasil)enEnglish (Inglés)esEspañol

Deja una respuesta