11.2 Réplication codée

eDirectory vous permet de chiffrer les données transmises entre des serveurs eDirectory. Cette option offre ainsi un niveau de sécurité élevé pendant la réplication puisque les données ne circulent pas en texte clair.

Figure 11-3 Réplication codée

Sur la Figure 11-3, « finance » et « library » sont les partitions de l'arborescence. Il se peut que « finance » contienne des données sensibles à chiffrer lors de la réplication. Vous pouvez dès lors activer la partition « finance » pour la réplication codée. Il est, par contre, inutile d'activer la réplication codée de partitions telles que « library », car elles ne contiennent pas nécessairement de données sensibles.

IMPORTANT :activer la réplication codée pour une partition peut ralentir le processus de réplication. Vous pouvez activer ou désactiver la réplication codée à l'aide d'iManager.

Cette section contient les informations suivantes :

11.2.1 Avantage de la réplication codée

Avant eDirectory 8.8, les données étaient transmises sur le réseau pendant la réplication en texte clair. Il convenait alors de protéger les données confidentielles sur le réseau en les codant, surtout si les répliques étaient séparées géographiquement et connectées via Internet.

Cette fonction peut être utilisée dans les scénarios suivants :

  • Si les serveurs d'annuaire sont répartis sur différents sites géographiques via WAN et Internet et qu'il est nécessaire de coder les données sensibles sur le réseau.

  • Si vous ne souhaitez protéger que certaines partitions de votre arborescence, vous pouvez sélectionner les partitions contenant les données sensibles à coder pour la réplication.

  • Si vous avez besoin d'une réplication codée entre certaines répliques d'une partition qui contiennent des données sensibles.

  • Si vous pensez que le réseau de votre installation est hostile, vous pouvez protéger les données sensibles pendant la réplication.

11.2.2 Activation de la réplication codée

Pour activer la réplication codée, vous devez lui configurer une partition. Les paramètres de configuration sont stockés dans l'objet Racine de la partition.

Vous pouvez choisir d'activer la réplication codée au niveau de la partition ou de la réplique.

Les configurations au niveau de la réplique priment sur celles au niveau de la partition. Cela signifie que si la réplication codée est :

  • activée au niveau de la partition et désactivée pour des répliques spécifiques, la réplication entre les répliques spécifiques s'effectue en texte clair ;

  • désactivée au niveau de la partition et activée pour des répliques spécifiques, la réplication entre les répliques spécifiques s'effectue sous forme codée ;

Tableau 11-1 Remplacement de la configuration de la réplication codée au niveau de la partition

Niveau de la partition

Niveau de la réplique

Réplication

Activé

Désactivé

Non codés

Désactivé

Activé

Codée

Il se compose des sections suivantes :

Activation de la réplication codée au niveau de la partition

Lorsque vous activez la réplication codée au niveau d'une partition, la réplication entre toutes les répliques hébergeant la partition est codée. Imaginons, par exemple, que la partition P1 comporte les répliques R1, R2, R3 et R4. Vous pouvez coder la réplication entre toutes les répliques ; toutes les réplications, entrantes et sortantes, seront codées pour ces répliques.

Pour activer une partition pour la réplication codée, tous les serveurs hébergeant cette partition doivent exécuter eDirectory 8.8 ou une version ultérieure.

Figure 11-4 Réplication codée

Les configurations pour la réplication codée au niveau de la partition sont ignorées si vous disposez de configurations de ce type au niveau de la réplique. Reportez-vous au Tableau 11-1.

La compatibilité avec les versions précédentes dépend de l'activation/la désactivation de la réplication codée au niveau de la partition. Reportez-vous à la Section 11.2.3, Ajout d'une nouvelle réplique à un anneau de répliques pour plus d'informations.

Vous pouvez activer la réplication codée au niveau de la partition à l'aide d'iManager ou de LDAP, comme expliqué aux sections suivantes :

Activation de la réplication codée au niveau de la partition avec iManager

  1. Cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Codage eDirectory > Réplication codée.

  3. Accédez à la partition pour laquelle vous voulez activer la réplication codée ou recherchez-la.

  4. Cliquez sur Suivant.

  5. Dans l'assistant de réplication codée, sélectionnez Coder toutes les synchronisations de répliques.

    Vous pouvez obtenir de l'aide via l'Assistant.

    REMARQUE :pour désactiver la réplication codée au niveau de la partition, désélectionnez Coder toutes les synchronisations de répliques.

  6. Cliquez sur Terminer.

Dans l'Assistant de réplication codée, si vous activez la réplication codée pour toute la partition, vous pouvez la désactiver pour des répliques spécifiques. Ces répliques ne recevront et n'enverront pas de données sous forme codée. Vous pouvez également désactiver le chiffrement pour l'ensemble de la partition en désélectionnant Coder toutes les synchronisations de répliques.

Activation de la réplication codée au niveau de la partition avec LDAP

IMPORTANT :il est vivement recommandé d'utiliser iManager pour activer la réplication codée.

Pour coder la réplication, vous devez utiliser l'attribut dsEncryptedReplicationConfig. La syntaxe est :

enable/disable flag#destination replica number#source replica number

Remplacez par l'un de ces drapeaux :

  • 0 : désactive la réplication codée

  • 1 : active la réplication codée

Les numéros de réplique source et cible représentent les numéros de réplique source et cible d'une partition. Ces numéros peuvent être spécifiés dans n'importe quel ordre, car si la réplication de A vers B est codée, celle de B vers A l'est également.

REMARQUE :si les numéros de réplique source et cible au niveau de la partition sont 0 et si le drapeau est 1, toutes les répliques sont considérées comme activées pour la réplication codée.

Pour activer la réplication codée au niveau de la partition, la valeur de l'attribut dsEncryptedReplicationConfig doit être 1#0#0.

Voici un exemple de fichier LDIF pour l'activation de la réplication codée au niveau de la partition :

dn: o=ou
changetype:modify
replace: dsEncryptedReplicationConfig
dsEncryptedReplicationConfig:1#0#0

Ces configurations au niveau de la réplique priment sur celles au niveau de la partition. Reportez-vous à la section Activation de la réplication codée au niveau de la réplique avec LDAP pour plus d'informations.

Activation de la réplication codée au niveau de la réplique

Lorsque vous activez la réplication codée au niveau de la réplique, la réplication, tant entrante que sortante, entre des répliques spécifiques est codée.

Imaginons, par exemple, que la partition P1 comporte les répliques R1, R2, R3 et R4. Vous pouvez coder la réplication entre les répliques R1 et R2 ou entre R2 et R4.

Pour activer la réplication codée entre des répliques d'une partition, vous devez définir entre elles un lien de codage. Reportez-vous à la section Activation de la réplication codée au niveau de la réplique avec iManager pour plus d'informations.

Si vous avez activé la réplication codée pour une réplique, cela signifie que :

  • la synchronisation entrante d'un serveur vers cette réplique et

  • la synchronisation sortante de cette réplique vers un autre serveur sont codées.

Les répliques activées pour la réplication codée doivent être situées sur des serveurs eDirectory 8.8 ou version ultérieure. Les autres répliques de l'anneau, qui ne sont pas activées pour cette réplication, peuvent se trouver sur des serveurs exécutant des versions antérieures d'eDirectory.

Pour désactiver la réplication codée au niveau de la réplique, vous devez désactiver Coder le lien pour les répliques spécifiques à l'aide de l'assistant de configuration de la réplication codée dans iManager.

Vous pouvez activer la réplication codée au niveau de la réplique à l'aide d'iManager ou de LDAP, comme expliqué aux sections suivantes :

Activation de la réplication codée au niveau de la réplique avec iManager

Vous pouvez activer la réplication codée au niveau de la réplique par le biais d'iManager en créant des liens de codage. Ces derniers relient les répliques entre lesquelles la réplication doit être codée. Vous les créez lors de la configuration d'une réplique pour la réplication codée, en sélectionnant une réplique source et une ou plusieurs répliques cibles.

Imaginons, par exemple, que la partition P1 comporte les répliques R1, R2, R3 et R4. Pour coder la réplication entre les répliques R1 et R2, vous devez créer un lien de codage en identifiant l'une d'elles comme la source et l'autre comme la cible.

Une fois les liens de codage créés, vous pouvez choisir de chiffrer ou pas ces liens pour des répliques spécifiques en sélectionnant ou non Coder le lien dans l'assistant de configuration de la réplication codée dans iManager. Reportez-vous à la section Activation de la réplication codée au niveau de la réplique avec iManager pour plus d'informations.

Pour activer la réplication codée au niveau de la réplique :

  1. Cliquez sur le bouton Rôles et tâches bouton Rôles et tâches.

  2. Cliquez sur Codage eDirectory > Réplication codée.

  3. Accédez à la partition pour laquelle vous voulez activer la réplication codée ou recherchez-la.

  4. Cliquez sur Suivant.

  5. Dans l'assistant de réplication codée, dans le tableau Synchronisations codées, cliquez sur Nouveau pour définir un lien de codage.

    1. Dans le champ Sélectionner la réplique source, spécifiez ou accédez à la réplique que vous souhaitez utiliser comme source.

    2. Dans le champ Répliques cibles, spécifiez une ou plusieurs répliques ou accédez à une ou plusieurs répliques que vous souhaitez utiliser comme cible pour la réplication.

    3. Sélectionnez Coder le lien.

    4. Cliquez sur OK.

  6. Cliquez sur Terminer.

Activation de la réplication codée au niveau de la réplique avec LDAP

IMPORTANT :il est vivement recommandé d'utiliser iManager pour activer la réplication codée.

Pour chiffrer la réplication, vous devez utiliser l'attribut dsEncryptedReplicationConfig. La syntaxe est :

enable/disable flag#destination replica number#source replica number

Pour plus d'informations sur la syntaxe, reportez‑vous à la section Activation de la réplication codée au niveau de la partition avec LDAP.

Lorsque vous spécifiez les numéros des répliques dans la syntaxe ci-dessus, vous activez la réplication codée entre celles-ci. Exemples de syntaxe :

  • 1#0#1 : la réplication codée est activée à partir de et vers la réplique 1, ainsi que vers et à partir de toutes les autres répliques de la partition.

  • 0#3#1 : la réplication codée est désactivée entre les répliques 1 et 3.

  • 0#1#1 : la réplication codée est désactivée pour la réplique 1.

Voici un exemple de fichier LDIF qui désactive la réplication codée entre les répliques 1 et 3 :

dn: o=ou
changetype: modify
replace: dsEncryptedReplicationConfig
dsEncryptedReplicationConfig: 0#3#1

Opérations de partition

Lorsque vous divisez une partition, la configuration de la réplication codée pour la partition parent est héritée par la partition enfant. Lorsque vous fusionnez une partition, cette configuration est conservée pour la partition résultante.

11.2.3 Ajout d'une nouvelle réplique à un anneau de répliques

L'ajout d'une nouvelle réplique à un anneau dépend de l'activation/la désactivation de la réplication codée pour la partition au niveau de cette dernière et de la réplique.

Pour plus d'informations sur l'ajout d'une réplique à un anneau de répliques, reportez-vous à la Section 6.5, Gestion des répliques.

À chacun de ces niveaux, vous disposez de scénarios différents selon la version du serveur eDirectory à ajouter à l'anneau de répliques, comme expliqué aux sections suivantes :

Activation de la réplication codée au niveau de la partition

Les scénarios varient en fonction de la version du serveur eDirectory à ajouter.

Scénario 

Chiffrement de données

Ajout d'un serveur eDirectory 8.8 ou 9.0 sans EBA et avec la réplication codée désactivée

Les données sont transférées en texte clair.

Ajout d'un serveur eDirectory 8.8 ou 9.0 sans EBA et avec la réplication codée

eDirectory chiffre les données en fonction des stratégies de réplication codée.

Ajout d'un serveur eDirectory 9.0 avec EBA

Le chiffrement EBA a la priorité sur la réplication codée.

Activation de la réplication codée au niveau de la réplique

Si la réplication codée est activée entre une réplique source et des répliques cibles spécifiques, vous pouvez ajouter un serveur eDirectory 8.8 ou version ultérieure à l'anneau de répliques.

Les scénarios varient si la réplication codée est activée entre une réplique source et toutes les autres répliques de l'anneau. C'est alors une situation similaire à l'ajout de répliques à un anneau pour lequel la réplication codée est activée ou désactivée au niveau de la partition. Reportez-vous à la section Activation de la réplication codée au niveau de la partition pour plus d'informations.

Activation de la réplication codée pour le serveur à ajouter

Si le serveur à ajouter fonctionne sous Linux, vous pouvez utiliser l'option ndsconfig -E pour activer la réplication codée sur ce serveur. Pour plus d'informations, reportez-vous aux pages du manuel ndsconfig.

Si le serveur à ajouter fonctionne sous Windows, vous pouvez sélectionner l'option Activer la réplication codée dans l'Assistant d'installation.

Si le serveur à ajouter se trouve sur des plates-formes autres que Linux, vous pouvez activer la réplication codée à l'aide d'iManager ou de LDAP. Reportez-vous à la Section 11.2.2, Activation de la réplication codée pour plus d'informations.

11.2.4 Synchronisation et réplication codée

Si une réplique est activée pour la réplication codée et que les changements de configuration ne sont pas synchronisés avec les autres serveurs, la réplication entre les répliques s'effectue sous forme codée. Celles qui ne sont pas synchronisées avec les changements de configuration pour la réplication codée continuent la synchronisation en texte clair.

Même si la configuration de la réplication codée n'a pas été synchronisée entre les répliques, la réplication entre ces dernières aura lieu sous forme codée.

11.2.5 Affichage de l'état de la réplication codée

Vous pouvez afficher l'état de la réplication codée via iMonitor de la manière suivante :

  1. Dans iMonitor, cliquez sur Synchronisation de l'agent dans le cadre de l'assistant.

  2. Cliquez sur Synchronisation de réplique pour la partition à afficher.

    Les informations relatives à l'état des répliques s'affichent. Le champ État de codage indique si le lien de la réplique à laquelle vous êtes actuellement connecté est chiffré ou non.

    En fait, la réplication codée (RC) comporte trois scénarios :

    • RC activée au niveau de la partition : La réplique à laquelle vous êtes connecté indique que l'État de codage est activé.

      Pour déterminer la réplique à laquelle vous êtes connecté, vous devez rechercher dans le cadre de la réplique celle qui n'a pas de lien hypertexte. Si vous parcourez les autres répliques, vous constatez que l'État de codage est également marqué comme activé.

    • RC activée au niveau de la réplique : vous avez activé la RC pour toutes les répliques à partir d'une réplique spécifique (autrement dit, une vers toutes). Dans ce cas, lorsque vous êtes connecté à cette réplique, son État de codage est marqué comme activé.

    • RC activée/désactivée pour une combinaison de répliques : RC activée/désactivée pour une combinaison de répliques - vous avez activé la RC pour l'ensemble de la partition, mais pas pour un groupe sélectionné de serveurs, ou inversement.

      Par exemple, vous avez activé la RC pour la partition A qui compte trois répliques (1, 2 et 3) et l'avez désactivée pour 1 <--> 3. Dans ce cas, si vous êtes connecté à la réplique 1, l'État de codage apparaît comme suit :

      Serveur 1 Activé

      Serveur 2

      Serveur 3 Désactivé

      Ce qui signifie que le serveur 1 est activé pour la réplication codée vers tous les serveurs de l'anneau de répliques, mais que 1<-->3 est désactivé par l'administrateur.