Réplication codée
Novell eDirectory 8.8 (ou version ultérieure) permet de coder les données transmises entre des serveurs eDirectory 8.8, afin de garantir un niveau élevé de sécurité pendant la réplication puisque les données ne circulent pas en texte clair.
Pour plus d'informations sur l'utilité de la réplication codée et des exemples de scénarios de codage de données lors de la réplication, consultez le manuel Novell eDirectory 8.8 What's New Guide (Guide des nouveautés de Novell eDirectory 8.8).
Figure 39Réplication codée
Dans l'illustration ci-dessus, « finances » et « bibliothèque » sont les partitions de l'arborescence. Il se peut que « finances » contienne des données sensibles à coder lors de la réplication. Vous pouvez dès lors activer la partition « finances » pour la réplication codée. Il n'est, par contre, pas nécessaire d'activer pour la réplication codée des partitions telles que « bibliothèque», qui ne risquent pas de contenir des données sensibles.
IMPORTANT: activer la réplication codée pour une partition peut ralentir le processus de réplication.
Vous pouvez activer ou désactiver la réplication codée à l'aide de iManager.
NOTE: la réplication codée n'est pas prise en charge sous Netware®.
Cette section fournit les informations suivantes :
- Activation de la réplication codée
- Ajout d'une nouvelle réplique à un anneau de répliques
- Synchronisation et réplication codée
- Affichage de l'état de la réplication codée
Activation de la réplication codée
Pour activer la réplication codée, vous devez lui configurer une partition. Les paramètres de configuration sont stockés dans l'objet Racine de la partition.
Vous pouvez choisir d'activer la réplication codée au niveau de la partition ou de la réplique.
Les configurations au niveau de la réplique priment sur celles au niveau de la partition. Cela signifie que si la réplication codée est :
- activée au niveau de la partition et désactivée pour des répliques spécifiques, la réplication entre les répliques spécifiques s'effectue en texte clair ;
- désactivée au niveau de la partition et activée pour des répliques spécifiques, la réplication entre les répliques spécifiques s'effectue sous forme codée ;
Table 2. Remplacement de la configuration de la réplication codée au niveau de la partition
| Niveau de la partition | Niveau de la réplique | Réplication |
|---|---|---|
Activée |
Désactivée |
Non codée |
Désactivée |
Activée |
Codée |
Cette section comprend les procédures suivantes :
- Activation de la réplication codée au niveau de la partition
- Activation de la réplication codée au niveau de la réplique
Activation de la réplication codée au niveau de la partition
Lorsque vous activez la réplication codée au niveau d'une partition, la réplication entre toutes les répliques hébergeant la partition est codée. Imaginons, par exemple, que la partition P1 comporte les répliques R1, R2, R3 et R4. Vous pouvez coder la réplication entre toutes les répliques ; toutes les réplications, entrantes et sortantes, seront codées pour ces répliques.
Pour activer une partition pour la réplication codée, tous les serveurs hébergeant cette partition doivent exécuter eDirectory 8.8 ou une version ultérieure. Les autres partitions de l'arborescence qui ne sont pas activées pour la réplication codée peuvent avoir des serveurs antérieurs à eDirectory 8.8.
Figure 40Réplication codée au niveau de la partition
Les configurations pour la réplication codée au niveau de la partition sont ignorées si vous disposez de configurations de ce type au niveau de la réplique. Reportez-vous à la Table 2, Remplacement de la configuration de la réplication codée au niveau de la partition.
La compatibilité avec les versions précédentes dépend de l'activation/la désactivation de la réplication codée au niveau de la partition. Pour plus d'informations, reportez-vous à la section Ajout d'une nouvelle réplique à un anneau de répliques.
Vous pouvez activer la réplication codée au niveau de la partition à l'aide de iManager ou de LDAP, comme expliqué aux sections suivantes :
- Activation de la réplication codée au niveau de la partition avec iManager
- Activation de la réplication codée au niveau de la partition avec LDAP
- Opérations de partition
Activation de la réplication codée au niveau de la partition avec iManager
-
Cliquez sur le bouton Rôles et tâches
. -
Cliquez sur Codage eDirectory > Réplication.
-
Dans l'Assistant de réplication codée, sélectionnez Coder toutes les synchronisations de répliques.
Vous pouvez obtenir de l'aide via l'Assistant.
NOTE: pour désactiver la réplication codée au niveau de la partition, désélectionnez Coder toutes les synchronisations de répliques.
Dans l'Assistant de réplication codée, si vous activez la réplication codée pour toute la partition, vous pouvez la désactiver pour des répliques spécifiques. Ces répliques ne recevront et n'enverront pas de données sous forme codée. Vous pouvez également désactiver le codage pour toute la partition en désélectionnant Coder toutes les synchronisations de répliques.
Activation de la réplication codée au niveau de la partition avec LDAP
IMPORTANT: il est vivement recommandé d'utiliser iManager pour activer la réplication codée.
Pour coder la réplication, vous devez utiliser l'attribut dsEncryptedReplicationConfig. La syntaxe est la suivante :
drapeau d'activation/de désactivation#numéro de réplique cible#numéro de réplique source
Remplacez par l'un de ces drapeaux :
- 0: désactive la réplication codée
- 1: active la réplication codée
Les numéros de réplique source et cible représentent les numéros de réplique source et cible d'une partition. Ces numéros peuvent être spécifiés dans n'importe quel ordre, car si la réplication de A vers B est codée, celle de B vers A l'est également.
NOTE: si les numéros de réplique source et cible au niveau de la partition sont 0 et si le drapeau est 1, toutes les répliques sont considérées comme activées pour la réplication codée.
Pour activer la réplication codée au niveau de la partition, la valeur de l'attribut dsEncryptedReplicationConfig doit être 1#0#0.
Voici un exemple de fichier LDIF pour l'activation de la réplication codée au niveau de la partition :
dn: o=ou
changetype: modify
replace: dsEncryptedReplicationConfig
dsEncryptedReplicationConfig:1#0#0
Ces configurations au niveau de la réplique priment sur celles au niveau de la partition. Pour plus d'informations, reportez-vous à la section Activation de la réplication codée au niveau de la réplique avec LDAP.
Activation de la réplication codée au niveau de la réplique
Lorsque vous activez la réplication codée au niveau de la réplique, la réplication, tant entrante que sortante, entre des répliques spécifiques est codée.
Imaginons, par exemple, que la partition P1 comporte les répliques R1, R2, R3 et R4. Vous pouvez coder la réplication entre les répliques R1 et R2 ou entre R2 et R4.
Pour activer la réplication codée entre des répliques d'une partition, vous devez définir entre elles un lien de codage. Pour plus d'informations, reportez-vous à la section Activation de la réplication codée au niveau de la réplique avec iManager.
Si vous avez activé la réplication codée pour une réplique, cela signifie que :
- la synchronisation entrante d'un serveur vers cette réplique et
- la synchronisation sortante de cette réplique vers un autre serveur sont codées.
Les répliques activées pour la réplication codée doivent être situées sur des serveurs eDirectory 8.8. Les autres répliques de l'anneau, qui ne sont pas activées pour cette réplication, peuvent se trouver sur des serveurs exécutant des versions antérieures de eDirectory.
Si vous avez activé uniquement des répliques spécifiques pour la réplication codée, vous pouvez ajouter à l'anneau de répliques un serveur doté de eDirectory 8.8 ou d'une version antérieure.
Pour désactiver la réplication codée au niveau de la réplique, vous devez désactiver Coder le lien pour les répliques spécifiques à l'aide de l'Assistant de configuration de la réplication codée dans iManager.
Vous pouvez activer la réplication codée au niveau de la réplique à l'aide de iManager ou de LDAP, comme expliqué aux sections suivantes :
- Activation de la réplication codée au niveau de la réplique avec iManager
- Activation de la réplication codée au niveau de la réplique avec LDAP
Activation de la réplication codée au niveau de la réplique avec iManager
Vous pouvez activer la réplication codée au niveau de la réplique par le biais de iManager en créant des liens de codage. Ces derniers relient les répliques entre lesquelles la réplication doit être codée. Vous les créez lors de la configuration d'une réplique pour la réplication codée, en sélectionnant une réplique source et une ou plusieurs répliques cibles.
Imaginons, par exemple, que la partition P1 comporte les répliques R1, R2, R3 et R4. Pour coder la réplication entre les répliques R1 et R2, vous devez créer un lien de codage en identifiant l'une d'elles comme la source et l'autre comme la cible.
Une fois les liens de codage créés, vous pouvez choisir de coder ou pas ces liens pour des répliques spécifiques en (dé)sélectionnant Coder le lien dans l'Assistant de configuration de la réplication codée dans iManager. Pour plus d'informations, reportez-vous à la section Activation de la réplication codée au niveau de la réplique avec iManager.
Pour activer la réplication codée au niveau de la réplique :
Activation de la réplication codée au niveau de la réplique avec LDAP
IMPORTANT: il est vivement recommandé d'utiliser iManager pour activer la réplication codée.
Pour coder la réplication, vous devez utiliser l'attribut dsEncryptedReplicationConfig. La syntaxe est la suivante :
drapeau d'activation/de désactivation#numéro de réplique cible#numéro de réplique source
Pour plus d'informations sur la syntaxe, reportez-vous à la section Activation de la réplication codée au niveau de la partition avec LDAP.
Lorsque vous spécifiez les numéros des répliques dans la syntaxe ci-dessus, vous activez la réplication codée entre celles-ci. Exemples de syntaxe :
- 1#0#1: la réplication codée est activée depuis et vers la réplique 1, ainsi que vers et depuis toutes les autres répliques de la partition.
- 0#3#1: la réplication codée est désactivée entre les répliques 1 et 3.
- 0#1#1: la réplication codée est désactivée pour la réplique 1.
Voici un exemple de fichier LDIF qui désactive la réplication codée entre les répliques 1 et 3 :
dn: o=ou
changetype: modify
replace: dsEncryptedReplicationConfig
dsEncryptedReplicationConfig: 0#3#1
Ajout d'une nouvelle réplique à un anneau de répliques
L'ajout d'une nouvelle réplique à un anneau dépend de l'activation/la désactivation de la réplication codée pour la partition au niveau de cette dernière et de la réplique.
Pour plus d'informations sur l'ajout d'une réplique à un anneau de répliques, reportez-vous à la section Gestion des répliques.
À chacun de ces niveaux, vous disposez de scénarios différents selon la version du serveur eDirectory à ajouter à l'anneau de répliques, comme expliqué aux sections suivantes :
- Activation de la réplication codée au niveau de la partition
- Activation de la réplication codée au niveau de la réplique
Activation de la réplication codée au niveau de la partition
Les scénarios varient en fonction de la version du serveur eDirectory à ajouter. Cette section comprend les informations suivantes :
- Ajout à l'anneau de répliques de serveurs dotés d'une version de eDirectory antérieure à 8.8
- Ajout de serveurs eDirectory 8.8 à l'anneau de répliques
Ajout à l'anneau de répliques de serveurs dotés d'une version de eDirectory antérieure à 8.8
L'illustration suivante décrit les scénarios possibles lorsque vous ajoutez, à l'anneau de répliques, un serveur doté d'une version de eDirectory antérieure à 8.8 :
NOTE: l'abréviation RC dans l'illustration ci-dessous désigne la réplication codée.
Figure 41Scénarios possibles pour un serveur doté d'une version de eDirectory antérieure à 8.8
Scénario A : ajout d'un serveur doté d'une version de eDirectory antérieure à 8.8 à un anneau de répliques eDirectory 8.8 avec la réplication codée activée
Si vous essayez d'ajouter un serveur doté d'une version de eDirectory antérieure à 8.8 à un anneau de répliques eDirectory 8.8 pour lequel vous avez activé la réplication codée, l'erreur ERR_INCOMPATIBLE_DS est renvoyée. Vous pourrez ajouter le serveur à l'anneau, mais vous ne pourrez pas obtenir de réplique de la partition sur le serveur.
Figure 42Ajout d'un serveur doté d'une version de eDirectory antérieure à 8.8 à un anneau de répliques eDirectory 8.8 avec la réplication codée activée
Scénario B : ajout d'un serveur doté d'une version de eDirectory antérieure à 8.8 à un anneau de répliques eDirectory 8.8 avec la réplication codée désactivée
Vous pouvez ajouter un serveur doté d'une version eDirectory antérieure à 8.8 à un anneau de répliques eDirectory 8.8 avec la réplication codée désactivée.
Figure 43Ajout d'un serveur doté d'une version de eDirectory antérieure à 8.8 à un anneau de répliques avec la réplication codée désactivée
Scénario C : ajout d'un serveur doté d'une version de eDirectory antérieure à 8.8 à un anneau de répliques mixte avec la réplication codée désactivée
Vous pouvez ajouter un serveur doté d'une version eDirectory antérieure à 8.8 à un anneau de répliques comportant différentes versions de eDirectory avec la réplication codée désactivée. Reportez-vous à la figure 43 ci-dessus.
Ajout de serveurs eDirectory 8.8 à l'anneau de répliques
L'illustration suivante décrit les scénarios possibles lorsque vous ajoutez un serveur eDirectory 8.8 à l'anneau de répliques :
Figure 44Scénarios possibles pour un serveur eDirectory 8.8
Scénario A : ajout de serveurs eDirectory 8.8 à un anneau de répliques eDirectory 8.8 avec la réplication codée activée
Dans ce cas, la réplication codée serait déjà activée sur le serveur eDirectory 8.8 ajouté.
Figure 45Ajout d'un serveur eDirectory 8.8 à un anneau de répliques eDirectory avec la réplication codée activée
Scénario B : ajout de serveurs eDirectory 8.8 à un anneau de répliques eDirectory 8.8 avec la réplication codée désactivée
Dans ce cas, la réplication codée sera désactivée sur le serveur eDirectory 8.8 ajouté.
Figure 46Ajout d'un serveur eDirectory 8.8 à des anneaux de répliques pour lesquels la réplication codée est désactivée
Scénario C : ajout de serveurs eDirectory 8.8 à un anneau de répliques mixte dans lequel la réplique maîtresse est un serveur eDirectory 8.8 et la réplication codée est désactivée
Dans ce cas, il n'est pas nécessaire d'activer la réplication codée sur le serveur eDirectory 8.8 à ajouter. Reportez-vous à la Ajout d'un serveur eDirectory 8.8 à des anneaux de répliques pour lesquels la réplication codée est désactivée.
Scénario D : ajout de serveurs eDirectory 8.8 à un anneau de répliques mixte dans lequel la réplique maîtresse est un serveur doté d'une version de eDirectory antérieure à 8.8 et la réplication codée est désactivée
Dans ce cas, il n'est pas nécessaire d'activer la réplication codée sur le serveur eDirectory 8.8 à ajouter.
Figure 47Ajout d'un serveur eDirectory 8.8 à un anneau de répliques dans lequel la réplique maîtresse est un serveur doté d'une version de eDirectory antérieure à 8.8
Activation de la réplication codée au niveau de la réplique
Si la réplication codée est activée entre une réplique source et des répliques cibles spécifiques, vous pouvez ajouter à l'anneau de répliques un serveur doté de eDirectory 8.8 ou d'une version antérieure.
Les scénarios varient si la réplication codée est activée entre une réplique source et toutes les autres répliques de l'anneau. C'est alors une situation similaire à l'ajout de répliques à un anneau pour lequel la réplication codée est activée ou désactivée au niveau de la partition. Pour plus d'informations, reportez-vous à la section Activation de la réplication codée au niveau de la partition.
Activation de la réplication codée pour le serveur à ajouter
Si le serveur à ajouter fonctionne sous Linux ou UNIX, vous pouvez utiliser l'option -E de ndsconfig pour activer la réplication codée sur ce serveur. Pour plus d'informations, reportez-vous aux pages du manuel ndsconfig.
Si le serveur à ajouter fonctionne sous Windows, vous pouvez sélectionner l'option Activer la réplication codée dans l'Assistant d'installation.
Si le serveur à ajouter est sur des plates-formes autres que Linux et UNIX, vous pouvez activer la réplication codée à l'aide de iManager ou de LDAP. Pour plus d'informations, reportez-vous à la section Activation de la réplication codée.
Synchronisation et réplication codée
Si une réplique est activée pour la réplication codée et que les changements de configuration ne sont pas synchronisés avec les autres serveurs, la réplication entre les répliques s'effectue sous forme codée. Celles qui ne sont pas synchronisées avec les changements de configuration pour la réplication codée continuent la synchronisation en texte clair.
Même si la configuration de la réplication codée n'a pas été synchronisée entre les répliques, la réplication entre ces dernières aura lieu sous forme codée.
Affichage de l'état de la réplication codée
Vous pouvez afficher l'état de la réplication codée via iMonitor de la manière suivante :
-
Dans iMonitor, cliquez sur Synchronisation de l'agent dans le cadre de l'Assistant.
-
Cliquez sur Synchronisation des répliques pour la partition à afficher.
Les informations relatives à l'état des répliques s'affichent. Le champ État de codage indique si le lien de la réplique à laquelle vous êtes actuellement connecté est codé ou non.
En fait, la réplication codée (RC) comporte trois scénarios :
RC activée au niveau de la partition : la réplique à laquelle vous êtes connecté indique que l'état de codage est Activé.
Pour déterminer la réplique à laquelle vous êtes connecté, vous devez rechercher dans le cadre de la réplique celle qui n'a pas de lien hypertexte. Si vous parcourez les autres répliques, vous constatez que l'état de codage est également marqué comme Activé.
RC activée au niveau de la réplique : vous avez activé la RC pour toutes les répliques à partir d'une réplique spécifique (autrement dit, une vers toutes). Dans ce cas, lorsque vous êtes connecté à cette réplique, son état de codage est marqué comme Activé.
RC activée/désactivée pour une combinaison de répliques : RC activée/désactivée pour une combinaison de répliques - vous avez activé la RC pour l'ensemble de la partition, mais pas pour un groupe sélectionné de serveurs, ou inversement.
Par exemple, vous avez activé la RC pour la partition A qui compte trois répliques (1, 2 et 3) et l'avez désactivée pour 1 <--> 3. Dans ce cas, si vous êtes connecté à la réplique 1, l'état de codage apparaît comme suit :
Serveur 1 Activé
Serveur 2
Serveur 3 Désactivé
Ce qui signifie que le serveur 1 est activé pour la réplication codée vers tous les serveurs de l'anneau de répliques, mais que 1<-->3 est désactivé par l'administrateur.