SSLでのレプリケーション

すべてのレプリケーション操作がSSL接続で行われるように、レプリケーションに関わるDirectory Serverを構成できます。

SSL用のレプリケーション操作を構成するには:

次の手順では、2つのマスターを持つレプリケーション・トポロジーで、レプリケーションを構成するコマンド例を示します。

レプリケーションがSSLによってセキュリティ保護されていても、レプリケーション・マネージャの認証はまだ簡単なバインドとパスワードを使用して行われます。クライアントベースの認証を使用すれば、レプリケーションのセキュリティを万全にできますが、より複雑な設定が必要になります。クライアントベースの認証を使用したレプリケーションの詳細は、「SSL用クライアント認証ベースのレプリケーションを構成するには:」を参照してください。

このタスクの実行には、DSCCが使用できます。詳細は、「Directory Service Control Centerのインタフェース」およびDSCCのオンライン・ヘルプを参照してください。

1. 新しいサーバーを作成し、それらを起動します。

   $ dsadm create -p 1389 -P 1636 /local/ds1
   $ dsadm create -p 2389 -P 2636 /local/ds2
   
   $ dsadm start /local/ds1
   $ dsadm start /local/ds2

   SSL構成の詳細は、「Directory ServerでのSSLの使用方法」を参照してください。

2. すべてのサーバーで、空の接尾辞を作成します。

   $ dsconf create-suffix -e -w password-file -p 1389 dc=example,dc=com
   $ dsconf create-suffix -e -w password-file -p 2389 dc=example,dc=com

3. すべてのサーバーで、マルチマスターのパスワード・ファイルを設定します。

   $ dsconf set-server-prop -e -i -w password-file -h example1.server -p 1389 \
    def-repl-manager-pwd-file:/local/ds1/replmanrpwd1.txt
   $ dsconf set-server-prop -e -i -w password-file -h example2.server -p 2389 \
    def-repl-manager-pwd-file:/local/ds1/replmanrpwd2.txt

4. すべてのサーバーで、レプリケーションを有効にします。

   $ dsconf enable-repl -h example1.server -p 1389 -e -i -w password-file \
   -d 1 master dc=example,dc=com
   $ dsconf enable-repl -h example2.server -p 2389 -e -i -w password-file \
   -d 2 master dc=example,dc=com

5. すべてのサーバーで、既存のデフォルト証明書をエクスポートします。

   $ dsadm show-cert -F der -o certfile1 /local/ds1 defaultCert
   $ dsadm show-cert -F der -o certfile2 /local/ds2 defaultCert

6. すべてのサーバーで、他のすべてのサーバーから証明書を追加します。

   $ dsadm add-cert --ca /local/ds1 "ds2 Repl Manager Cert" certfile2
   $ dsadm add-cert --ca /local/ds2 "ds1 Repl Manager Cert" certfile1

7. 構成したサーバー間でレプリケーション承諾を作成します。

   レプリケーション承諾には、セキュアなLDAPポートを使用します。

   $ dsconf create-repl-agmt -h example1.server -p 1389 -e -i -w password-file\
    --auth-protocol "ssl-simple" dc=example,dc=com example2.server:2636
   $ dsconf create-repl-agmt -h example2.server -p 2389 -e -i -w password-file\
    --auth-protocol "ssl-simple" dc=example,dc=com example1.server:1636

8. すべてのレプリケーション承諾で、認証パスワード・ファイルを、レプリケーション承諾内のコンシューマ(ターゲット)サーバーのレプリケーション・マネージャ・パスワード・ファイルとして設定します。

   $ dsconf set-repl-agmt-prop -h example1.server -p 1389 -e -i -w password-file\
    dc=example,dc=com example2.server:2636 auth-pwd-file:/local/ds1/replmanrpwd2.txt
   $ dsconf set-repl-agmt-prop -h example2.server -p 2389 -e -i -w password-file\
    dc=example,dc=com example1.server:1636 auth-pwd-file:/local/ds1/replmanrpwd1.txt

   接尾辞の初期化後、サプライヤはすべてのレプリケーション更新メッセージをコンシューマにSSLで送信します。オプションで選択されている場合には証明書が使用されます。また、SSL用の承諾構成を使用して、DSCCからカスタマの初期化を実行する場合も、セキュアな接続が使用されます。

9. すべてのサーバーで、構成の変更を反映するため、サーバーを再起動します。

   $ dsadm restart /local/ds1
   $ dsadm restart /local/ds2

10. いずれかのマスター・サーバーで、接尾辞を初期化します。

    $ dsconf import -h example1.server -p 1389 -e -i \
    -w password-file /tmp/Example.ldif dc=example,dc=com

11. まだ初期化されていないすべてのサーバーで、レプリケーション承諾を使用してサーバーを初期化します。

    $ dsconf init-repl-dest -e -i -w password-file \
    -h example1.server -p 1389 dc=example,dc=com example1.server:2636

SSL用クライアント認証ベースのレプリケーションを構成するには:

次の手順では、信頼できる認証局(CA)からの適切に署名された証明書/鍵のペアをリクエスト済で、かつそれらの認証局のCA証明書がすべてのセキュリティ・データベースに存在することを前提としています。

証明書/鍵のペアはレプリケーションの権限を持つユーザーに対して発行する必要があります。つまり、証明書の対象はサーバー間のレプリケーション・データ転送を許可されたユーザーのDNとなります。次の例では、それらのユーザーはou=user1,o=usersおよびou=user1,o=usersであり、セキュリティ・データベースの証明書の略名はそれぞれreplmgr1およびreplmgr2となります。

1. 新しいサーバーを作成します。

   $ dsadm create -p 1389 -P 1636 /local/ds1
   $ dsadm create -p 2389 -P 2636 /local/ds2

2. CAで受け取られたユーザー証明書/鍵のペアを、各サーバーに追加します。

   $ dsadm import-cert /local/ds1 user1.der
   $ dsadm import-cert /local/ds2 user2.der

   user1.derおよびuser2.derはCAから提供されるファイルです。

3. 後で使用するため、ユーザー証明書をエクスポートします。

   $ dsadm show-cert -F ascii /local/ds1 replmgr1 > user1.ldif
   $ dsadm show-cert -F ascii /local/ds2 replmgr2 > user2.ldif

   このファイルには、base64でエンコードしたバイナリ証明書を含める必要があります。

4. サーバーを起動します。

   $ dsadm start /local/ds1 
   $ dsadm start /local/ds2

5. すべてのサーバーで空の接尾辞を作成します。ユーザーおよびユーザー証明書はそこに格納されることになります。

   $ dsconf create-suffix -p 1389 -e o=example.com
   $ dsconf create-suffix -p 2389 -e o=example.com
   $ dsconf create-suffix -p 1389 -e o=users
   $ dsconf create-suffix -p 2389 -e o=users

   ---

   注意: ユーザーおよびユーザー証明書を別の接尾辞に入れることもできます。レプリケートされる接尾辞そのものにユーザーを含めることはお薦めできません。

   ---

6. すべてのサーバーで、レプリケーションを有効にします。

   $ dsconf enable-repl -p 1389 -e -d 1 master o=example.com
   $ dsconf enable-repl -p 2389 -e -d 1 master o=example.com

7. レプリケーション・マネージャとして設定されるユーザーを用意します。user1.ldifおよびuser2.ldifを次のように編集します。

   dn: cn=user1,o=users
   objectclass: top
   objectclass: inetorgperson
   sn: user1
   userCertificate;binary:: MIIBqDCCARGgAwIBAgI <...>
    dXNlcnMwHh <...>
    <...>

   ファイルは有効なLDIFファイルである必要があります。

   BEGIN CERTIFICATEおよびEND CERTIFICATEの行を削除します。userCertificate;binary::の値は、単にbase64でエンコードされたものです。これが複数行に及ぶ場合、行の最初の文字をスペースにする必要があります。

8. ユーザーがレプリケートを許可される予定のサーバーで、ユーザー定義を追加します。

   $ ldapmodify -p 1389 -D binddn -w password -a < user2.ldif
   $ ldapmodify -p 2389 -D binddn -w password -a < user1.ldif

   ---

   注意: ldapmodifyコマンドを直接発行して、対話形式で2つのユーザーを作成することもできます。userCertifacte属性を設定する際は、正しい構文を使用するようにしてください。

   ---

9. サーバー間レプリケートを許可されたユーザーをレプリケーション・マネージャとして設定します。

   $ dsconf -p 1389 set-suffix-prop repl-manager-bind-dn: cn=user2,o=users
   $ dsconf -p 2389 set-suffix-prop repl-manager-bind-dn: cn=user1,o=users

10. ユーザー証明書/鍵を自身のものとして使用するようサーバー証明書を設定します。

    $ dsconf -p 1389 set-server-prop ssl-rsa-cert-name:replmgr1
    $ dsconf -p 2389 set-server-prop ssl-rsa-cert-name:replmgr2

11. 新しい変更が反映されるようにサーバーを再起動します。

    $ dsadm restart /local/ds1
    $ dsadm restart /local/ds2

12. レプリケーション承諾を作成します。

    $ dsconf create-repl-agmt -p 1389 -e -A ssl-client o=example.com hostname:2636
    $ dsconf create-repl-agmt -p 2389 -e -A ssl-client o=example.com hostname:1636