5.3. 証明書ベースの認証を使用したマルチサプライヤーレプリケーションの設定
証明書ベースの認証を使用するマルチサプライヤーレプリケーション環境では、レプリカは証明書を使用して相互に認証します。
前提条件
-
server1.example.com
とserver2.example.com
の両方のホストで証明書ベースの認証を設定します。 - Directory Server は、クライアント証明書を発行する認証局 (CA) を信頼します。
-
クライアント証明書は、サーバーの
/etc/dirsrv/slapd-instance_name/certmap.conf
で設定された要件を満たしています。
手順
server1.example.com
上で:一時的なレプリカ合意を削除します。
# dsconf -D "cn=Directory Manager" ldaps://server1.example.com repl-agmt delete --suffix="dc=example,dc=com" temporary_agreement
cn=repl_servers,dc=groups,dc=example,dc=com
バインドグループをレプリケーション設定に追加します。# dsconf -D "cn=Directory Manager" ldaps://server1.example.com replication set --suffix="dc=example,dc=com" --repl-bind-group "cn=repl_servers,dc=groups,dc=example,dc=com"
バインドグループの変更を自動的にチェックするように Directory Server を設定します。
# dsconf -D "cn=Directory Manager" ldaps://server1.example.com replication set --suffix="dc=example,dc=com" --repl-bind-group-interval=0
server2.example.com
上で:一時的なレプリケーションマネージャーアカウントを削除します。
# dsconf -D "cn=Directory Manager" ldaps://server2.example.com replication delete-manager --suffix="dc=example,dc=com" --name="Replication Manager"
cn=repl_servers,dc=groups,dc=example,dc=com
バインドグループをレプリケーション設定に追加します。# dsconf -D "cn=Directory Manager" ldaps://server2.example.com replication set --suffix="dc=example,dc=com" --repl-bind-group "cn=repl_servers,dc=groups,dc=example,dc=com"
バインドグループの変更を自動的にチェックするように Directory Server を設定します。
# dsconf -D "cn=Directory Manager" ldap://server2.example.com replication set --suffix="dc=example,dc=com" --repl-bind-group-interval=0
証明書ベースの認証を使用して複製合意を作成します。
dsconf -D "cn=Directory Manager" ldaps://server2.example.com repl-agmt create --suffix="dc=example,dc=com" --host="server1.example.com" --port=636 --conn-protocol=LDAPS --bind-method="SSLCLIENTAUTH" --init server2-to-server1
server1.example.com
で、証明書ベースの認証を使用して複製合意を作成します。dsconf -D "cn=Directory Manager" ldaps://server1.example.com repl-agmt create --suffix="dc=example,dc=com" --host="server2.example.com" --port=636 --conn-protocol=LDAPS --bind-method="SSLCLIENTAUTH" --init server1-to-server2
検証
初期化が成功したことを各サーバーで確認します。
# dsconf -D "cn=Directory Manager" ldaps://server1.example.com repl-agmt init-status --suffix "dc=example,dc=com" server1-to-server2 Agreement successfully initialized. # dsconf -D "cn=Directory Manager" ldaps://server2.example.com repl-agmt init-status --suffix "dc=example,dc=com" server2-to-server1 Agreement successfully initialized.
関連情報