Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

15.6. 配置复制合作伙伴以使用基于证书的身份验证

您可以使用基于证书的身份验证,而不是使用绑定 DN 和密码向复制合作伙伴进行身份验证。
以下流程描述了如何将名为 server2.example.com 的新服务器添加到复制拓扑中,以及如何使用基于证书的身份验证在新主机和现有 server1.example.com 之间设置复制协议:
  1. 在两个主机上,设置基于证书的身份验证。详情请查看 第 9.9.1 节 “设置基于证书的身份验证”
  2. server1.example.com 主机上:
    1. 为两个服务器创建帐户,如 cn=server1,example,dc=comcn=server2,dc=example,dc=com,并将客户端证书添加到对应的帐户。详情请查看:
      两个服务器稍后会使用这些帐户和证书在相互建立复制连接时进行身份验证。
    2. 创建一个组,如 cn=repl_server,ou=Groups,dc=example,dc=com,并添加这两个服务器帐户。请参阅 第 8.1 节 “使用组”
    3. 创建副本条目,并将 nsds5ReplicaBindDNGroup 属性设置为上一步中创建的组的 DN: 
      # dsconf -D "cn=Directory Manager" ldap://server1.example.com replication \
    enable --suffix="dc=example,dc=com" --role="supplier" --replica-id="7" \
    --bind-group-dn="cn=repl_server,ou=Groups,dc=example,dc=com"
      Copy to Clipboard Toggle word wrap
    4. 设置副本条目的间隔,在其中 Directory 服务器检查组是否已更改为 0
      # dsconf -D "cn=Directory Manager" ldap://server1.example.com replication \
     set --suffix="dc=example,dc=com" --repl-bind-group-interval=0
      Copy to Clipboard Toggle word wrap
  3. 初始化新服务器:
    1. server2.example.com 上创建一个临时复制管理器帐户,如 cn=Replication Manager,cn=config
    2. server1.example.com 上,创建一个临时复制协议,它使用上一步中的帐户进行身份验证: 
      # dsconf -D "cn=Directory Manager" ldap://server2.example.com repl-agmt \
     create --suffix="dc=example,dc=com" --host="server1.example.com" --port=636 \
     --conn-protocol=LDAPS --bind-dn="cn=Replication Manager,cn=config" \
     --bind-passwd="password" --bind-method=SIMPLE --init \
     temporary_agreement
      Copy to Clipboard Toggle word wrap
      此协议使用之前创建的复制管理器帐户来初始化数据库。在此初始化前,server2.example.com 上的数据库为空,具有相关证书的帐户不存在。因此,在初始化数据库前无法使用证书复制。
  4. 新服务器初始化后:
    1. server1.example.com 中删除临时复制协议: 
      # dsconf -D "cn=Directory Manager" ldap://server1.example.com repl-agmt \
     delete --suffix="dc=example,dc=com" temporary_agreement
      Copy to Clipboard Toggle word wrap
    2. server2.example.com 中删除临时复制管理器帐户: 
      # dsconf -D "cn=Directory Manager" ldap://server2.example.com replication \
     delete-manager --suffix="dc=example,dc=com" --name="Replication Manager"
      Copy to Clipboard Toggle word wrap
  5. 在同时使用基于证书的身份验证的两个服务器上创建复制协议:
    1. server1.example.com 上: 
      # dsconf -D "cn=Directory Manager" ldap://server1.example.com repl-agmt \
     create --suffix="dc=example,dc=com" --host="server2.example.com" --port=636 \
     --conn-protocol=LDAPS --bind-method="SSLCLIENTAUTH" \
     --init example_agreement
      Copy to Clipboard Toggle word wrap
    2. server2.example.com 上: 
      # dsconf -D "cn=Directory Manager" ldap://server2.example.com repl-agmt \
     create --suffix="dc=example,dc=com" --host="server1.example.com" --port=636 \
     --conn-protocol=LDAPS --bind-method="SSLCLIENTAUTH" \
     --init example_agreement
      Copy to Clipboard Toggle word wrap
  6. 要验证复制是否正常工作,请在复制协议中显示 nsds5replicaLastUpdateStatus 属性: 
    # dsconf -D "cn=Directory Manager" ldap://server1.example.com repl-agmt status --suffix="dc=example,dc=com" example_agreement
    Copy to Clipboard Toggle word wrap
    有关可能状态的详情,请查看 红帽目录服务器配置、命令和文件参考中的 复制协议 状态附录。
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat