复制管理员是一个用户,提供方在发送复制更新时将使用此用户绑定到使用方服务器。包含接收更新的后缀的所有服务器都必须至少有一个复制管理员条目。
目录服务器有一个默认的复制管理员条目,您可以在每个服务器上使用此条目(特别是在简单复制方案中):cn=replication manager,cn=replication,cn=config。复制机制将自动使用此用户配置使用方副本,从而简化了副本部署。
如果您的复制方案比较复杂,则可能需要多个复制管理员,并且针对每个复制后缀需要使用不同的密码。可以使用一个或多个新的复制管理员替换现有的默认复制管理员。
请勿在服务器上使用复制管理员的 DN 和密码进行绑定或执行操作。复制管理员仅用于复制机制。任何其他用途可能都需要重新初始化副本。
请勿将目录管理员用作复制管理员。由于 cn=admin,cn=Administrators,cn=config 条目用于执行其他管理任务,因此也不得将此用户或管理员组中的任何其他用户用作复制管理员。
为每个使用方选择了复制管理员之后,请务必记住所选择或所创建的复制管理员 DN。稍后在提供方上创建与此使用方之间的复制协议时,需要使用此 DN 及其密码。
可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。
在所有使用方(目标)复制后缀上,创建新的复制管理员和密码。
$ ldapmodify -a -h host -p port -D cn=admin,cn=Administrators,cn=config -w - Enter bind password: dn:"cn=new-replication-manager,cn=replication,cn=config" objectclass: top objectclass: person userpassword:password sn:new-replication-manager |
例如:
$ ldapmodify -a -h host1 -p 1389 -D cn=admin,cn=Administrators,cn=config -w - Enter bind password: dn:"cn=ReplicationManager3,cn=replication,cn=config" objectclass: top objectclass: person userpassword:secret sn:ReplicationManager3 |
在所有使用方(目标)复制后缀上,设置复制管理员绑定 DN。
$ dsconf set-suffix-prop -h host -p port suffix-DN \ repl-manager-bind-dn:"cn=new-replication-manager,cn=replication,cn=config" |
例如:
$ dsconf set-suffix-prop -h host1 -p 1389 dc=example,dc=com \ repl-manager-bind-dn:"cn=ReplicationManager3,cn=replication,cn=config" |
针对已在所有提供方(源)复制后缀上创建的所有复制协议,设置复制管理员绑定 DN。
创建用于设置新复制管理员密码的临时文件。
此文件只读取一次,并存储密码以供将来使用。
$ echo password > password-file |
设置执行更新时复制机制要使用的复制管理员绑定 DN 和密码。
$ dsconf set-repl-agmt-prop -h host -p port suffix-DN host:port \ auth-bind-dn:"cn=new-replication-manager,cn=replication,cn=config" \ auth-pwd-file:password-file |
例如:
$ dsconf set-repl-agmt-prop -h host2 -p 1389 dc=example,dc=com host1:1389 \ auth-bind-dn:"cn=ReplicationManager3,cn=replication,cn=config" \ auth-pwd-file:pwd.txt |
删除临时密码文件。
$ rm password-file |