Plugin LDAP/Active Directory Bacula Enterprise – Guia Rápido

Este Guia Rápido apresenta técnicas e estratégias para backup de servidores LDAP e Microsoft AD com o Plugin Bacula Enterprise Edition.

O plug-in do LDAP/AD foi projetado para executar um backup e restauração granulares de objetos, e o suporte a backups incrementais, diferenciais e completos.

Ele usa o protocolo de rede e esquema padrão do LDAP para pesquisar e busca de objetos, de modo que possa suportar uma variedade de servidores LDAP diferentes, além do OpenLDAP.

O método de plug-in do LDAP/AD é client-less e não precisa ser instalado na máquina do LDAP ou do Windows Active Directory. A máquina do Bacula Server ou qualquer outro Linux com uma conexão de rede com o servidor LDAP ou Microsoft Active Directory pode ser usada para executar o backup e a restauração de objetos granulares.

O plug-in suporta a configuração Accurate (Precisão) do Job Bacula (localizar objetos excluídos), comunicação ldaps (SSL) com o servidor LDAP e os servidores MS Active Directory Windows 2003, Windows 2008 e superior.

Instalação

Pacotes estão disponíveis para RedHat Enterprise e Debian/Ubuntu. Entre em contato para recebê-los.

Instale o plug-in em uma máquina com um Daemon de arquivo Bacula (cliente) em funcionamento e com uma conexão de rede com o serviço LDAP ou MS Active Directory. Por exemplo:

rpm -ivh bacula-enterprise-ldap-plugin

Reinicie o cliente Bacula (service bacula-fd restart), para que o daemon possa carregar o plugin recém-instalado.

Configuração

Para usar o plugin LDAP/MSAD, você deve configurar um arquivo na máquina daemon de arquivos que usa o plugin. Ele contém parâmetros de conexão do servidor LDAP/MSAD.

O arquivo de configuração padrão está localizado em:

  • /opt/bacula/etc/ldap.conf para o plugin LDAP e
  • /opt/bacula/etc/msad.conf para o plugin MSAD.

E seu conteúdo deve ser semelhante a estes:

#
# Sample config file for the ldap plugin /opt/bacula/etc/ldap.conf
#
LDAPURI = "ldap://192.168.0.100/"
BINDDN = "cn=backup,dc=acme,dc=com"
BINDPASS = "PASSW0RD"
BASEDN = "dc=acme,dc=com"

#
# Sample config file for the msad plugin /opt/bacula/etc/msad.conf 
#
LDAPURI = "ldap://10.41.101.1/"
BINDDN = "Administrator@domain" # or domainAdministrator
BINDPASS = "password"
BASEDN = "dc=domain,dc=com"

Você pode chamar um arquivo de configuração diferente em cada definição de opção de Plugin FileSet, para fazer backup de diferentes bases de serviços de diretório.

O plug-in requer uma conta LDAP/MSAD com permissões para consultar e ler objetos para backup. Essa conta pode ser uma conta de administrador ou uma conta de usuário com uma função de backup.

O BASEDN é o local base (DN) para backup, pode ser uma árvore raiz do servidor ldap ou alguma outra subárvore.

Os plug-ins LDAP/MSAD criam um namespace virtual no catálogo Bacula, que consiste nos prefixos “ldap:” ou “msad:” e na árvore DN como uma árvore de diretórios.

Como alternativa, os parâmetros do arquivo de configuração podem ser definidos nas opções do plug-in Bacula FileSet. No entanto, lidar com caracteres especiais na senha do usuário de vinculação LDAP/MSAD pode ser mais complicado.

Teste de Conexão

Para testar os parâmetros de conexão para o Microsoft AD, você pode usar o seguinte comando LDAP, no shell:

ldapsearch -LLL -x -H 'ldap://10.41.101.1/' -D 'Administrator@domain' 
-w 'password' -b 'DC=domain,DC=com' '(objectClass=*)'

Observação: os plug-ins LDAP/MSAD executam uma consulta de base única para localizar todos os arquivos para backup, mas a configuração padrão dos servidores LDAP e MS AD limita o número de registros retornados por uma única consulta. Isso limita o número de registros que o Bacula obtém para backup. Consequentemente, para garantir o backup adequado dos servidores LDAP ou MS AD, o administrador deve aumentar esse limite. A alteração de configuração necessária depende do tipo e da versão do servidor LDAP ou MS AD. O servidor padrão do Active Directory está limitado a 1000 registros. Isso significa que, se você realizar uma pesquisa LDAP a partir da linha de comando ou de um aplicativo, o conjunto de resultados será limitado a 1.000 resultados. O administrador do AD deve aumentar o limite com Ntdsutil.exe. Verifique o parâmetro MaxPageSize.

Configuração do FileSet

Ao definir todas as informações de conexão LDAP no arquivo de configuração (/opt/bacula/etc/ldap.conf), você deve usar o arquivo no arquivo settings para permitir o uso do plugin LDAP. Essa configuração também pode ser feita usando o bweb.

FileSet {
  Name = "FS_LDAP"
  Include {
    Plugin = "ldap"
  }
}

Você também pode especificar um arquivo de configuração diferente na linha de comando, conforme mostrado abaixo:

Plugin = "ldap: config=/tmp/ldap.conf"

O FileSet seguinte não usa um arquivo de configuração, mas tenta passar todas as diretivas necessárias para o plugin:

Plugin = "msad: ldapuri=ldap://172.23.60.50 binddn=bacula\hfaria bindpass=password basedn="dc=bacula,dc=com,dc=br""

Como mostrado na Figura 1, todas essas configurações do FileSet também podem ser executadas com o Bacula bweb. Neste caso, não é necessário escapar de caracteres especiais.

Plugin LDAP/Active Directory Bacula Enterprise – Guia Rápido 1

Figura 1. Configuração do Plugin Bweb LDAP/MSAD

Opções do Plugin

A Tabela 1 lista e descreve todas as opções do plugin.

Opção Default Descrição
config /opt/bacula/etc/ldap.conf
e
/opt/bacula/etc/msad.conf
O arquivo de configuração do plug-in do LDAP
ldapuri O parâmetro URI do LDAP especifica para conectar-se ao servidor ldap
binddn Nome distinto do usuário de backup no LDAP
bindpass Senha usuário do backup no LDAP
basedn Um local base (DN) para backup, pode ser a raiz do servidor ldap ou alguma subárvore

Tabela 1. Opções do Plug-in LDAP/MSAD

Configuração e Teste dos Jobs

Crie um Job de backup que use o FileSet de backup LDAP/MSAD recém-criado e o mesmo cliente que tenha o plug-in carregado.

É possível testar o trabalho de backup e arquivado com o comando de estimativa Bacula. Por exemplo:

* estimate listing job=pluginTest level=Full
Using Catalog "MyCatalog"
Connecting to Client 127.0.0.1-fd at 127.0.0.1:8102
drwxr-xr-x 1 root root   585 2014-03-25 10:12:22 ldap:/dc=com/dc=bacula/dc=database5926/
-rw-r--r-- 1 root root   542 2014-03-25 10:12:22 ldap:/dc=com/dc=bacula/dc=database5926/cn=root
-rw-r--r-- 1 root root   535 2014-03-25 10:12:22 ldap:/dc=com/dc=bacula/dc=database5926/cn=test
2000 OK estimate files=3 bytes=1,077

Restore

Para restaurar um único objeto ou uma árvore inteira, você precisa de um servidor LDAP ou MSAD em funcionamento. Os plug-ins LDAP e MSAD não são projetados para procedimentos de Recuperação de Desastre em que o servidor LDAP ou MSAD pode não estar funcional. Para Recuperação de Desastres de um servidor MSAD, você pode usar o plugin Bacula Enterprise VSS.

Objetos LDAP e MSAD são restaurados como arquivos regulares com o comando “restore” do Bacula bconsole, ou graficamente com BAT ou mesmo bweb. Por exemplo.:

cwd is: /
$ cd ldap:/dc=com/dc=bacula
cwd is: ldap:/dc=com/dc=bacula/
$ dir
-rw-r--r-- 1 root root 568 2012-03-17 08:44:34 ldap:/dc=com/dc=bacula/cn=admin
drwxr-xr-x 1 root root 480 2012-03-11 19:30:55 ldap:/dc=com/dc=bacula/ou=Accounting/
drwxr-xr-x 1 root root 491 2012-03-11 19:28:49 ldap:/dc=com/dc=bacula/ou=Administrative/
drwxr-xr-x 1 root root 494 2012-03-11 19:28:49 ldap:/dc=com/dc=bacula/ou=Human Resources/
drwxr-xr-x 1 root root 479 2012-03-11 19:28:49 ldap:/dc=com/dc=bacula/ou=Janitorial/
drwxr-xr-x 1 root root 479 2012-03-11 19:32:18 ldap:/dc=com/dc=bacula/ou=Management/
drwxr-xr-x 1 root root 470 2012-03-11 19:28:49 ldap:/dc=com/dc=bacula/ou=Payroll/
drwxr-xr-x 1 root root 464 2012-03-11 19:28:49 ldap:/dc=com/dc=bacula/ou=Peons/
drwxr-xr-x 1 root root 506 2012-03-11 19:30:55 ldap:/dc=com/dc=bacula/ou=Product Development/
drwxr-xr-x 1 root root 494 2012-03-11 19:28:49 ldap:/dc=com/dc=bacula/ou=Product Testing/
drwxr-xr-x 1 root root 450 2012-03-05 20:55:47 ldap:/dc=com/dc=bacula/ou=groups/
drwxr-xr-x 1 root root 448 2012-03-06 14:11:20 ldap:/dc=com/dc=bacula/ou=hosts/
drwxr-xr-x 1 root root 450 2012-04-10 10:48:32 ldap:/dc=com/dc=bacula/ou=people/
$ add "ou=Product Testing"
121 files marked.
$ cd ou=people
cwd is: ldap:/dc=com/dc=bacula/ou=people/
$ dir
-rw-r--r-- 1 root root 1006618 2012-04-10 10:48:32 ldap:/dc=com/dc=bacula/ou=people/uid=john
$ add *
1 file marked.

Você pode alterar a subárvore de restauração usando um parâmetro “where=” durante o comando restore. Ele deve conter um DN de realocação, por exemplo:

where = "dc=restore,dc=example,dc=com"

Referência

LDAP/MSAD Plugin – Bacula Enterprise Edition. http://baculasystems.com

Disponível em: pt-brPortuguêsenEnglish (Inglês)esEspañol (Espanhol)

Deixe uma resposta