OpenLdap+MySQL笔记

20元现金领取地址：http://jdb.jiudingcapital.com/phone.html
内部邀请码：C8E245J （不写邀请码，没有现金送）

国内私募机构九鼎控股打造，九鼎投资是在全国股份转让系统挂牌的公众公司，股票代码为430719，为“中国PE第一股”，市值超1000亿元。

最近项目原因，在CentOS下做了一套简单的LDAP服务，在此记录一二，本文强调后期碰到的问题和解决方法

下面的链接是比较详细的安装和基本配置过程，这个链接适用于debian，但是类似的可以在其他发行版下借鉴：

http://www.wingfoss.com/content/how-to-install-openldap-with-mysql-on-debian6

如果从源代码安装的话，slapd不会被注册成服务，需要手动来做。下面是一个Ldap自启动的脚本，我在CentOS下试过了，可以用的

对脚本的一些说明

• # chkconfig: - 70 40 ：此行不仅仅是注释，服务注册的命令（chkconfig）会根据这行还决定服务的启动顺序
• export是导出BerkeleyDB的库文件和头文件

将脚本保存在/etc/init.d下，为其设置可执行权限

用chkconfig命令注册脚本在启动时运行

因为是基于mysql的后端数据库，所以要保证ldap在mysql启动后启动，查看相应运行级别的rc.d文件（比如在level3时，进入到/etc/rc.d/rc3.d），查看其中的链接的开头数字是否大于mysql服务的数字。关于CentOS下，服务的基本概念这里不再说了

后续问题：长时间inactive，LDAP故障，需要重启

LDAP上线后，发现每天晚上过来LDAP服务都不可用了。这个问题一度困扰了我很长时间，网上各种查都无果，为此还在论坛上提问了。详见http://www.linuxcast.net/ask/show/480

最终偶然的机会，同事抱怨说Oracle数据库链接超过上线，要释放。我突然来了灵感，猜测是Mysql数据库链接自动关闭的问题，回头一查，果然mysql的如下参数设置成了8小时：

interactive_timeout　　　 | 28800

wait_timeout　　　　　　 | 28800

这样一来，一晚上（超过8小时）过来mysql主动将LDAP打开并保存的链接单方面关闭了，而LDAP全然不知，也没有重试链接，导致无法查询数据库。将这个值改大后可以保证一晚上不释放即可。

后续问题：性能低下

由于保存用户信息，用于登陆验证。用户感知登陆很慢，通常要10秒以上，才能登录。开始分析：先打开LDAP的log，在LDAP的配置文件里面配置

loglevel   256

然后在linux的日志服务的配置文件中添加

local4.*   -/var/log/ldap.log

log将输出到上面的路径下，关于linux系统日志服务的基本知识这里略过

观察log发现search每次都要大约6秒钟的时间，是主要的性能瓶颈。最初想为LDAP加索引和缓存，索引似乎只能支持bdb，缓存似乎要另外装插件；再看mysql端是否可以优化的，用脚本创建出来的表都带有索引，于是考虑mysql查询缓存是否能帮上忙：http://blog.webwlan.net/wordpress/?p=422

最终，尝试配置下面的配置：query_cache_size。这个值默认是0，因此，即使query_cache_type默认是启用的，也不能缓存查询结果。将query_cache_size配置成大约100M，测试LDAP，明显登录加快。再看log，查询时间缩短到1秒，暂时解决了燃眉之急。