15.5. 配置 Bootstrap 凭证

当您在复制协议中使用绑定可分辨名称(DN)组时,可能会出现组不存在或过时的情况:
  • 在在线初始化过程中,您必须在数据库初始化前对副本进行身份验证
  • 当您使用 GSSAPI 作为身份验证方法并更改 Kerberos 凭证时
如果您在复制协议中配置了 bootstrap 凭证,Directory 服务器会在连接失败时使用这些凭证,因为以下错误之一:
  • LDAP_INVALID_CREDENTIALS (err=49)
  • LDAP_INAPPROPRIATE_AUTH (err=48)
  • LDAP_NO_SUCH_OBJECT (err=32)
如果绑定使用 bootstrap 凭证成功,服务器建立复制连接并开始新的复制会话。这允许更新对绑定 DN 组成员的任何更新。默认情况下,在下一个复制会话中,Directory 服务器使用协议中的默认凭证,现在可以成功。
bootstrap 凭证也会失败,Directory 服务器会停止尝试连接。

流程

在创建复制协议时设置 bootstrap 凭证:
# dsconf -D "cn=Directory Manager" ldap://supplier.example.com repl-agmt create ... --bootstrap-bind-dn "bind_DN" --bootstrap-bind-passwd "password" --bootstrap-bind-method bind_method --bootstrap-conn-protocol connection protocol ...
在现有复制协议中设置 bootstrap 凭证:
# dsconf -D "cn=Directory Manager" ldap://supplier.example.com repl-agmt set --suffix="suffix" --bootstrap-bind-dn "bind_DN" --bootstrap-bind-passwd "password" --bootstrap-bind-method bind_method --bootstrap-conn-protocol connection protocol agreement_name