15.7.4. レプリカ合意の設定
カスケードレプリケーションには、2 セットのレプリカ合意(サプライヤーとハブの間の 1 つとハブとコンシューマーの間の 2 セット)が必要です。レプリカ合意を設定するには、以下を実行します。
- ハブのサプライヤーにレプリカ合意を作成してから、サプライヤーサーバーを使用してハブサーバーでレプリカを初期化します。
- 次に、各コンシューマーのハブでレプリカ合意を作成し、ハブからコンシューマーレプリカを初期化します。
レプリカ合意を設定するには、以下を実行します。
- Configuration タブのナビゲーションツリーで、データベースを右クリックし、New Replication Agreement を選択します。または、データベースを強調表示し、Object メニューから New Replication Agreement を選択して Replication Agreement Wizard を起動します。
- 最初の画面で、レプリカ合意の名前および説明を入力し、を押します。
- Source and Destination 画面で、コンシューマーの URL(hostname:port または IP_address:port )と、コンシューマー上のサプライヤーバインド DN とパスワードを入力します。ターゲットサーバーが利用できない場合は、他のサーバーにアクセスして情報を手動で入力します。
- 複数の Directory Server インスタンスが設定されていない場合、デフォルトでは、ドロップダウンメニューにはコンシューマーがありません。サーバーの URL は、IPv4 アドレスまたは IPv6 アドレスで .hostname :port または IP_address:port として手動で入力できます。
- Directory Server インスタンスが TLS で実行されるように設定されている場合でも、一覧表示されるポートは TLS 以外のポートになります。このポート番号は、コンソールで Directory Server インスタンスを識別するためにのみ使用されます。これは、レプリケーションに使用される実際のポート番号またはプロトコルを指定しません。
- サーバーで TLS が有効になっている場合は、TLS クライアント認証に Using encrypted SSL connection ラジオボタンを選択できます。それ以外の場合は、サプライヤーバインド DN およびパスワードを入力します。注記属性の暗号化が有効な場合は、暗号化された属性を複製するセキュアな接続 を使用する必要があります。
- 接続タイプを選択します。以下の 3 つのオプションがあります。
- LDAP を使用します。これにより、標準の暗号化されていない接続が設定されます。
- TLS/SSL を使用します。これは、636 などのサーバーのセキュアな LDAPS ポートを介したセキュアな接続を使用します。この設定は TLS を使用するために必要です。
- Start TLS を使用します。Start TLS を使用して、サーバーの標準ポートでセキュアな接続を確立します。
注記シンプルなパスワード認証(「セキュアなバインドの要求」)にセキュアなバインドが必要な場合は、セキュアな接続で行われる場合を除き、レプリケーション操作は失敗します。セキュアな接続(TLS および Start TLS 接続または SASL 認証)の使用が推奨されます。 - 適切な認証方法を選択し、必要な情報を提供します。これにより、サプライヤーがコンシューマーサーバーにバインドして更新を送信するために使用する情報を提供します。
- simple は、サーバーが、暗号化なしで標準ポートで接続することを意味します。必要な情報は、Replication Manager のバインド DN およびパスワード(コンシューマーサーバーに存在する必要がある)です。
- サーバー TLS/SSL 証明書は、サプライヤーの TLS 証明書を使用して、コンシューマーサーバーに対して認証します。証明書は、証明書ベースの認証のサプライヤーにインストールされ、コンシューマーサーバーには、サプライヤーの証明書内のサブジェクト DN をその Replication Manager エントリーにマッピングできるように、証明書マッピングを設定する必要があります。TSL および証明書マッピングの設定については、「TLS の有効化」 を参照してください。
- 簡易認証などの SASL/DIGEST-MD5 では、認証に使用するバインド DN とパスワードのみが必要になります。これは、標準または TLS 接続上で実行できます。
- SASL/GSSAPI では、サプライヤーサーバーに Kerberos キータブ( 「KDC サーバーおよびキータブの概要」にあるように)があり、コンシューマーサーバーでサプライヤーのプリンシパルを実際のレプリケーションマネージャーエントリーにマップするために SASL マッピングが必要です( 「コンソールからの SASL アイデンティティーマッピングの設定」のように)。
- 一部レプリケーションは、サーバー間でエントリーがレプリケートされるエントリー属性を制御します。デフォルトでは、すべての属性がレプリケートされます。コンシューマーに複製され ない属性 を選択するには、Enable Fractional Replication チェックボックスを選択します。次に、右側の Included コラムの属性(または属性)を強調表示し、Remove をクリックします。レプリケートされない属性はすべて左側の Excluded 列に一覧表示されます。また、レプリカ合意が完了する概要にも表示されます。
- レプリケーションの実行時にスケジュールを設定します。デフォルトでは、レプリケーションは継続的に実行されます。注記レプリケーションスケジュールは、真夜中(0000)を越えません。そのため、0001 を開始し、同じ日に 2359 で終わるスケジュールを設定できますが、1 日の 2359 から開始したスケジュールを設定し、次の 部分で終了することはできません。
- コンシューマーが初期化されると設定されます。コンシューマー を初期化すると、サプライヤーからコンシューマーにすべてのデータを手動でコピーします。デフォルトでは、コンシューマーを後で初期化できるように初期化ファイル(すべてのサプライヤーデータの LDIF)を作成します。レプリカ合意が完了した後、または全くない時に、コンシューマーを初期化することもできます。コンシューマーの初期化の詳細は、「コンシューマーの初期化」 を参照してください。カスケードレプリケーションについては、以下を考慮してください。
- 最初にサプライヤーで supplier-hub レプリカ合意を作成し、サプライヤーからハブを初期化します。
- ハブで hub-consumer レプリカ合意を作成し、ハブからコンシューマーを初期化します。
注記レプリケーションは、コンシューマーが初期化されるまで 開始されません。重要マルチマスターレプリケーションの場合は、コンシューマーが 1 つのサプライヤーによって 1 度だけ 初期化されていることを確認します。レプリケーションのステータスを確認する際には、コンシューマーの初期化に使用された適切なサプライヤーでレプリカ合意のエントリーを確認してください。 - 最後の画面には
dse.ldif
ファイルに含まれるため、レプリカ合意の設定が表示されます。 を押して合意を保存します。
注記
レプリカ合意の作成後、LDAP および LDAPS 接続が異なるポートを使用するため、接続タイプ(TLS または non-TLS)は変更できません。接続タイプを変更するには、レプリカ合意を再作成します。