Haute disponibilité sur le service EoleSSO avec Eolebase

Sommaire
  1. Installation des serveurs
  2. Configuration commune
  3. Configuration du serveur maître
  4. Configuration du serveur esclave
  5. Configuration du service SSO sur le serveur Scribe
  6. Export de certains fichiers du serveur Scribe vers les serveurs de haute disponibilité
  7. Diagnostic sur le serveur de haute disponibilité maître ou esclave

Il est possible de mettre en place la haute disponibilité sur un serveur Eolebase en mode Maître/Esclave sur un service donné.

Celle-ci se fait par l’installation du paquet eole-pacemaker. Plusieurs ressources sont alors disponibles pour paramétrer la haute disponibilité :

  • Mail ;

    L'envoi de courrier électronique permet de recevoir une alerte lorsque les ressources sont basculées d'un nœud à l'autre.

  • Adresses IP ;

    Le choix d'une adresse IP virtuelle permet la bascule d'un nœud à l'autre.

  • Services ;

    La ressource de type service permet de choisir le service à surveiller. Les services peuvent être surveillés sur le nœud maître ou sur le nœud esclave par simple déclaration.

  • Ping ;

    La ressource ping permet de mettre en place la bascule lorsqu'un serveur ne répond plus à la commande ping.

Serveur SSO en haute disponibilité sur Eolebase
Serveur SSO en haute disponibilité sur Eolebase

Installation des serveurs

Pour mettre en place la haute disponibilité sur le service EoleSSO d'un module Scribe il faut :

  • un serveur Scribe en production

  • 2 serveurs Eolebase :

    • haute disponibilité maître
    • haute disponibilité esclave

Exemple

Exemple de configuration :

  • serveur Scribe 192.168.0.26

  • haute disponibilité serveur maître 192.168.0.40

  • haute disponibilité serveur esclave 192.168.0.41

Configuration commune

Sur le serveur maître et sur le serveur esclave il faut installer eole-pacemaker et eole-sso :

# Query-Auto

# apt-get install eole-pacemaker eole-sso

Configuration du serveur maître

Configuration de la haute disponibilité sur le serveur maître

Configurer le serveur Eolebase servant à la haute disponibilité serveur maître à l'aide de l'interface de configuration du module :

  • donner un nom significatif à la machine, exemple : ha-master ;

  • Dans l'onglet Services, passer Activer la haute disponibilité à maître ;

  • paramétrer corosync : nom de machine et adresse IP du serveur esclave ;

  • configurer la ressource : nom et adresse IP virtuelle ;

  • configurer le service à placer en haute disponibilité : nom de la ressource, nom du service ;

Exemple

Nom de machine du node esclave : ha-slave

Adresse IP du node esclave sur l'interface de dialogue inter node : 192.168.0.41

Nom de la ressource de type IP Virtuelle : IP_SSO

Adresse IP redondée (VIP) : 192.168.0.24

Nœud préféré pour cette ressource : maître

Nom de la ressource de type Service : sso_rsc

Service à monitorer (script dans /etc/init.d/ compatible LSB) : eole-sso

Nœud préféré pour ce service : maître

Configuration du service SSO sur le serveur maître

Configurer le serveur Eolebase servant à la haute disponibilité serveur maître à l'aide de l'interface de configuration du module :

  • le service EoleSSO doit être local et l'annuaire distant ;

  • paramétrer le nom de domaine du serveur d'authentification SSO ;

  • paramétrer l'adresse de l'annuaire distant : adresse du serveur Scribe ;

  • Fichier de mot de passe de l'utilisateur de lecture doit pointer en local sur /root/.reader

Exemple

  • eolebase.ac-test.fr → IP virtuelle déclarée dans la configuration de la haute disponibilité → 192.168.0.24

  • Adresse du serveur LDAP utilisé par EoleSSO → adresse IP du serveur Scribe → 192.168.0.26

Instancier le serveur maître haute disponibilité

Instancier le serveur à l'aide de la commande instance.

Configuration du serveur esclave

Configuration de la haute disponibilité sur le serveur esclave

Configurer le serveur Eolebase servant à la haute disponibilité serveur esclave à l'aide de l'interface de configuration du module :

  • donner un nom significatif à la machine, exemple : ha-slave ;

  • Dans l'onglet Services, passer Activer la haute disponibilité à esclave ;

  • paramétrer corosync : nom de machine et adresse IP du serveur maître ;

Exemple

Nom de machine du node maître : ha-master

Adresse IP du node maître sur l'interface de dialogue inter node : 192.168.0.40

Configuration du service SSO sur le serveur esclave

Configurer le serveur Eolebase servant à la haute disponibilité serveur maître à l'aide de l'interface de configuration du module :

  • le service EoleSSO doit être local et l'annuaire distant ;

  • paramétrer le nom de domaine du serveur d'authentification SSO ;

  • paramétrer l'adresse de l'annuaire distant : adresse du serveur Scribe ;

  • Fichier de mot de passe de l'utilisateur de lecture doit pointer en local sur /root/.reader

Exemple

  • eolebase.ac-test.fr → IP virtuelle déclarée dans la configuration de la haute disponibilité → 192.168.0.24

  • Adresse du serveur LDAP utilisé par EoleSSO → adresse IP du serveur Scribe → 192.168.0.26

Instancier le serveur esclave haute disponibilité

Instancier le serveur à l'aide de la commande instance.

Configuration du service SSO sur le serveur Scribe

Configurer le serveur Scribe à l'aide de l'interface de configuration du module :

  • configurer le service SSO pour être distant ;

  • configurer le service SSO : le service SSO distant utilise le nom de domaine qui pointe sur l'adresse IP virtuelle déclarée dans la configuration de la haute disponibilité ;

Exemple

eolebase.ac-test.fr → IP virtuelle déclarée dans la configuration de la haute disponibilité → 192.168.0.24

Reconfigurer le serveur à l'aide de la commande reconfigure.

Export de certains fichiers du serveur Scribe vers les serveurs de haute disponibilité

L'utilisation de certificats auto-signés sur le serveur Scribe oblige à copier les certificats sur les deux serveurs de haute disponibilité.

Exemple

Copier le certificat du serveur Scribe sur le serveur de haute disponibilité maître :

root@scribe:~# scp /etc/ssl/certs/ca_local.crt root@192.168.0.40:/etc/ssl/local_ca/ca_local.crt

Copier le certificat du serveur Scribe sur le serveur de haute disponibilité esclave :

root@scribe:~# scp /etc/ssl/certs/ca_local.crt root@192.168.0.41:/etc/ssl/local_ca/ca_local.crt

Attention

Une fois les copies de fichiers réalisées il faut reconfigurer le serveur maître et le serveur esclave à l'aide de la commande reconfigure.

Diagnostic sur le serveur de haute disponibilité maître ou esclave

Pour voir l'état des ressources dans le cluster :

# crm_mon

Pour consulter les journaux du service EoleSSO :

# tail -f /var/log/rsyslog/local/eolesso/eolesso.info.log