SSL을 통한 복제

모든 복제 작업이 SSL 연결을 통해 수행되도록 복제에 포함된 디렉토리 서버를 구성할 수 있습니다.

SSL에 대한 복제 작업을 구성하는 방법

이 절차에서는 두 개의 마스터가 있는 복제 토폴로지에서 복제를 설정하는 명령 예를 보여줍니다.

이 예에서는 자체 서명된 인증서를 사용하는 간단한 복제 구성을 보여줍니다. 작업 환경에서 SSL을 통해 복제를 설정할 경우 인증 기관의 신뢰할 수 있는 인증서를 사용하면 보안이 향상됩니다.

공급자 서버 인증서가 SSL 핸드셰이크 중에 클라이언트 역할을 할 수 없는 SSL 서버 전용 인증서이면 SSL을 통한 복제가 제대로 수행되지 않습니다.

복제가 SSL에 의해 보안되는 동안에도 간단한 바인드 및 비밀번호를 사용하여 복제 관리자 인증이 계속 수행됩니다. 클라이언트 기반 인증을 사용하여 복제를 완벽하게 보안할 수 있지만, 이렇게 하려면 보다 복잡한 설정이 필요합니다.

DSCC를 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 디렉토리 서비스 제어 센터 인터페이스 및 DSCC 온라인 도움말을 참조하십시오.

1. 새 서버를 만든 다음 시작합니다.

   $ dsadm create -p 1389 -P 1636 /local/ds1 $ dsadm create -p 2389 -P 2636 /local/ds2 $ dsadm start /local/ds1 $ dsadm start /local/ds2

2. 모든 서버에서 빈 접미어를 만듭니다.

   $ dsconf create-suffix -e -i -p 1389 dc=example,dc=com $ dsconf create-suffix -e -i -p 2389 dc=example,dc=com

3. 모든 서버에서 다중 마스터 비밀번호 파일을 설정합니다.

   $ dsconf set-server-prop -e -i -h example1.server -p 1389 \ def-repl-manager-pwd-file:/local/ds1/replmanrpwd1.txt $ dsconf set-server-prop -e -i -h example2.server -p 2389 \ def-repl-manager-pwd-file:/local/ds1/replmanrpwd2.txt

4. 모든 서버에서 복제를 활성화합니다.

   $ dsconf enable-repl -h example1.server -p 1389 -e -i -d 1 master dc=example,dc=com $ dsconf enable-repl -h example2.server -p 2389 -e -i -d 2 master dc=example,dc=com

5. 모든 서버에서 기존 기본 인증서를 봅니다.

   $ dsadm show-cert -F der -o certfile1 /local/ds1 defaultCert $ dsadm show-cert -F der -o certfile2 /local/ds2 defaultCert

6. 모든 서버에서 모든 다른 서버의 신뢰할 수 있는 CA 인증서를 추가합니다.

   $ dsadm add-cert --ca /local/ds1 "ds2 Repl Manager Cert" certfile2 $ dsadm add-cert --ca /local/ds2 "ds1 Repl Manager Cert" certfile1

7. 모든 마스터와 허브(소스) 서버에서 모든 사용자(대상) 서버를 사용하여 복제 계약을 만듭니다.

   보안 LDAP 포트가 복제 계약에 사용됩니다.

   $ dsconf create-repl-agmt -h example1.server -p 1389 -e -i \ --auth-protocol "ssl-simple" dc=example,dc=com example2.server:2636 $ dsconf create-repl-agmt -h example2.server -p 2389 -e -i \ --auth-protocol "ssl-simple" dc=example,dc=com example1.server:1636

8. 모든 복제 계약에 대해 복제 계약에 있는 사용자(대상) 서버의 복제 관리자 파일이 되도록 인증 비밀번호 파일을 구성합니다.

   $ dsconf set-repl-agmt-prop -h example1.server -p 1389 -e -i \ dc=example,dc=com example2.server:2636 auth-pwd-file:/local/ds1/replmanrpwd2.txt $ dsconf set-repl-agmt-prop -h example2.server -p 2389 -e -i \ dc=example,dc=com example1.server:1636 auth-pwd-file:/local/ds1/replmanrpwd1.txt

   접미어 초기화가 끝나면 공급자는 SSL을 통해 모든 복제 업데이트 메시지를 소비자에게 보내며, 해당 옵션을 선택한 경우 인증서를 사용합니다. DSCC에서 SSL용으로 구성된 계약을 사용하면 사용자 초기화 시에도 보안 연결이 사용됩니다.

9. 모든 서버에서 서버를 다시 시작하여 구성 변경을 적용합니다.

   $ dsadm restart /local/ds1 $ dsadm restart /local/ds2

10. 마스터 서버 중 하나에서 접미어를 초기화합니다.

    $ dsconf import -h example1.server -p 1389 -e -i /tmp/Example.ldif dc=example,dc=com

11. 아직 초기화되지 않은 모든 서버에서 복제 계약을 사용하여 서버를 초기화합니다.

    $ dsconf init-repl-dest -e -i -h example1.server -p 1389 \ dc=example,dc=com example1.server:2636