2. Directory Serverのインスタンスと接尾辞
7. Directory Serverのパスワード・ポリシー
8. Directory Serverのバックアップとリストア
9. Directory Serverのグループ、ロールおよびCoS
デフォルト以外のレプリケーション・マネージャを設定するには:
デフォルトのレプリケーション・マネージャのパスワードを変更するには:
レプリケートされた接尾辞をリモート(サプライヤ)から初期化するには:
大規模なレプリケートされた接尾辞に多数のエントリを追加するには:
Directory Server 11gリリース1(11.1.1.5.0)より前のリリースでのレプリケーション
Directory Server 11gリリース1(11.1.1.5.0)とDirectory Server 6/5.2との間のレプリケート
指定された接尾辞の更新を記録するようレトロ変更ログを構成するには:
削除されたエントリの属性を記録するようレトロ変更ログを構成するには:
コマンドラインの使用によるレプリケーション・ステータスの取得
16. Directory Proxy Serverのツール
17. Directory Proxy Serverのインスタンス
19. Directory Proxy Serverの証明書
20. Directory Proxy Serverのロード・バランシングとクライアント・アフィニティ
22. Directory Proxy Serverによる仮想化
24. Directory Proxy ServerとバックエンドLDAPサーバーの接続
25. クライアントとDirectory Proxy Serverの接続
26. Directory Proxy Serverのクライアント認証
27. Directory Proxy Serverのロギング
28. Directory Proxy Serverの監視とアラート
第3部 Directory Service Control Centerの管理
すべてのレプリケーション操作がSSL接続で行われるように、レプリケーションに関わるDirectory Serverを構成できます。
次の手順では、2つのマスターを持つレプリケーション・トポロジーで、レプリケーションを構成するコマンド例を示します。
注意: この例では、インスタンス作成中に生成された自己署名証明書を使用した、簡単なレプリケーション構成を示します。本番環境では、SSLでのレプリケーションを設定している場合、認証局(CA)によって信頼された証明書をかわりに使用すると、セキュリティが強化されます。
サプライヤ・サーバーの証明書が、SSLハンドシェイク時にクライアントとして機能できないSSLサーバー専用の証明書である場合、SSLでのレプリケーションは正常に機能しません。
レプリケーションがSSLによってセキュリティ保護されていても、レプリケーション・マネージャの認証はまだ簡単なバインドとパスワードを使用して行われます。クライアントベースの認証を使用すれば、レプリケーションのセキュリティを万全にできますが、より複雑な設定が必要になります。クライアントベースの認証を使用したレプリケーションの詳細は、「SSL用クライアント認証ベースのレプリケーションを構成するには:」を参照してください。
このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。
$ dsadm create -p 1389 -P 1636 /local/ds1 $ dsadm create -p 2389 -P 2636 /local/ds2 $ dsadm start /local/ds1 $ dsadm start /local/ds2
SSL構成の詳細は、「Directory ServerでのSSLの使用方法」を参照してください。
$ dsconf create-suffix -e -w password-file -p 1389 dc=example,dc=com $ dsconf create-suffix -e -w password-file -p 2389 dc=example,dc=com
$ dsconf set-server-prop -e -i -w password-file -h example1.server -p 1389 \ def-repl-manager-pwd-file:/local/ds1/replmanrpwd1.txt $ dsconf set-server-prop -e -i -w password-file -h example2.server -p 2389 \ def-repl-manager-pwd-file:/local/ds1/replmanrpwd2.txt
$ dsconf enable-repl -h example1.server -p 1389 -e -i -w password-file \ -d 1 master dc=example,dc=com $ dsconf enable-repl -h example2.server -p 2389 -e -i -w password-file \ -d 2 master dc=example,dc=com
$ dsadm show-cert -F der -o certfile1 /local/ds1 defaultCert $ dsadm show-cert -F der -o certfile2 /local/ds2 defaultCert
$ dsadm add-cert --ca /local/ds1 "ds2 Repl Manager Cert" certfile2 $ dsadm add-cert --ca /local/ds2 "ds1 Repl Manager Cert" certfile1
レプリケーション承諾には、セキュアなLDAPポートを使用します。
$ dsconf create-repl-agmt -h example1.server -p 1389 -e -i -w password-file\ --auth-protocol "ssl-simple" dc=example,dc=com example2.server:2636 $ dsconf create-repl-agmt -h example2.server -p 2389 -e -i -w password-file\ --auth-protocol "ssl-simple" dc=example,dc=com example1.server:1636
$ dsconf set-repl-agmt-prop -h example1.server -p 1389 -e -i -w password-file\ dc=example,dc=com example2.server:2636 auth-pwd-file:/local/ds1/replmanrpwd2.txt $ dsconf set-repl-agmt-prop -h example2.server -p 2389 -e -i -w password-file\ dc=example,dc=com example1.server:1636 auth-pwd-file:/local/ds1/replmanrpwd1.txt
接尾辞の初期化後、サプライヤはすべてのレプリケーション更新メッセージをコンシューマにSSLで送信します。オプションで選択されている場合には証明書が使用されます。また、SSL用の承諾構成を使用して、DSCCからカスタマの初期化を実行する場合も、セキュアな接続が使用されます。
$ dsadm restart /local/ds1 $ dsadm restart /local/ds2
$ dsconf import -h example1.server -p 1389 -e -i \ -w password-file /tmp/Example.ldif dc=example,dc=com
$ dsconf init-repl-dest -e -i -w password-file \ -h example1.server -p 1389 dc=example,dc=com example1.server:2636
次の手順では、信頼できる認証局(CA)からの適切に署名された証明書/鍵のペアをリクエスト済で、かつそれらの認証局のCA証明書がすべてのセキュリティ・データベースに存在することを前提としています。
証明書/鍵のペアはレプリケーションの権限を持つユーザーに対して発行する必要があります。つまり、証明書の対象はサーバー間のレプリケーション・データ転送を許可されたユーザーのDNとなります。次の例では、それらのユーザーはou=user1,o=usersおよびou=user1,o=usersであり、セキュリティ・データベースの証明書の略名はそれぞれreplmgr1およびreplmgr2となります。
$ dsadm create -p 1389 -P 1636 /local/ds1 $ dsadm create -p 2389 -P 2636 /local/ds2
$ dsadm import-cert /local/ds1 user1.der $ dsadm import-cert /local/ds2 user2.der
user1.derおよびuser2.derはCAから提供されるファイルです。
$ dsadm show-cert -F ascii /local/ds1 replmgr1 > user1.ldif $ dsadm show-cert -F ascii /local/ds2 replmgr2 > user2.ldif
このファイルには、base64でエンコードしたバイナリ証明書を含める必要があります。
$ dsadm start /local/ds1 $ dsadm start /local/ds2
$ dsconf create-suffix -p 1389 -e o=example.com $ dsconf create-suffix -p 2389 -e o=example.com $ dsconf create-suffix -p 1389 -e o=users $ dsconf create-suffix -p 2389 -e o=users
注意: ユーザーおよびユーザー証明書を別の接尾辞に入れることもできます。レプリケートされる接尾辞そのものにユーザーを含めることはお薦めできません。
$ dsconf enable-repl -p 1389 -e -d 1 master o=example.com $ dsconf enable-repl -p 2389 -e -d 1 master o=example.com
dn: cn=user1,o=users objectclass: top objectclass: inetorgperson sn: user1 userCertificate;binary:: MIIBqDCCARGgAwIBAgI <...> dXNlcnMwHh <...> <...>
ファイルは有効なLDIFファイルである必要があります。
BEGIN CERTIFICATEおよびEND CERTIFICATEの行を削除します。userCertificate;binary::の値は、単にbase64でエンコードされたものです。これが複数行に及ぶ場合、行の最初の文字をスペースにする必要があります。
$ ldapmodify -p 1389 -D binddn -w password -a < user2.ldif $ ldapmodify -p 2389 -D binddn -w password -a < user1.ldif
注意: ldapmodifyコマンドを直接発行して、対話形式で2つのユーザーを作成することもできます。userCertifacte属性を設定する際は、正しい構文を使用するようにしてください。
$ dsconf -p 1389 set-suffix-prop repl-manager-bind-dn: cn=user2,o=users $ dsconf -p 2389 set-suffix-prop repl-manager-bind-dn: cn=user1,o=users
$ dsconf -p 1389 set-server-prop ssl-rsa-cert-name:replmgr1 $ dsconf -p 2389 set-server-prop ssl-rsa-cert-name:replmgr2
$ dsadm restart /local/ds1 $ dsadm restart /local/ds2
$ dsconf create-repl-agmt -p 1389 -e -A ssl-client o=example.com hostname:2636 $ dsconf create-repl-agmt -p 2389 -e -A ssl-client o=example.com hostname:1636