15.5. ブートストラップ認証情報の設定
レプリカ合意でバインド識別名 (DN) グループを使用する場合は、グループが存在しないか、古い状態になる可能性があります。
- データベースの初期化前にレプリカに対して認証する必要があるオンライン初期化
- GSSAPI を認証方法として使用する場合、Kerberos 認証情報が変更される
ブートストラップのクレデンシャルをレプリカ合意に設定した場合、Directory Server は、以下のエラーの 1 つにより接続が失敗した場合にこれらのクレデンシャルを使用します。
- LDAP_INVALID_CREDENTIALS (err=49)
- LDAP_INAPPROPRIATE_AUTH (err=48)
- LDAP_NO_SUCH_OBJECT (err=32)
ブートストラップ認証情報でバインドに成功すると、サーバーはレプリケーション接続を確立し、新しいレプリケーションセッションが開始されます。これにより、バインド DN グループメンバーを更新できるようになります。デフォルトでは、次のレプリケーションセッションでは、Directory Server は合意で今回成功したデフォルトの認証情報を使用します。
ブートストラップの認証情報も失敗すると、Directory Server は接続の試行を停止します。
手順
レプリカ合意の作成時にブートストラップ認証情報を設定するには、以下を実行します。
# dsconf -D "cn=Directory Manager" ldap://supplier.example.com repl-agmt create ... --bootstrap-bind-dn "bind_DN" --bootstrap-bind-passwd "password" --bootstrap-bind-method bind_method --bootstrap-conn-protocol connection protocol ...
既存のレプリカ合意でブートストラップ認証情報を設定するには、以下を実行します。
# dsconf -D "cn=Directory Manager" ldap://supplier.example.com repl-agmt set --suffix="suffix" --bootstrap-bind-dn "bind_DN" --bootstrap-bind-passwd "password" --bootstrap-bind-method bind_method --bootstrap-conn-protocol connection protocol agreement_name
