1.6 Répliques

Une réplique est une copie (ou instance) d'une partition définie par l'utilisateur, qui est placée sur un serveur eDirectory. Si votre réseau comporte plusieurs serveurs eDirectory, vous pouvez avoir plusieurs répliques (copies) de l'annuaire. Ainsi, en cas de panne d'un serveur ou de défaillance d'une connexion réseau à celui-ci, les utilisateurs pourront toujours se connecter et accéder aux autres ressources du réseau. (voir Figure 1-18).

Figure 1-18 Répliques eDirectory

Chaque serveur peut héberger plus de 65 000 répliques eDirectory. Toutefois, un serveur ne peut contenir qu'une seule réplique d'une même partition définie par l'utilisateur. Pour obtenir des informations complètes sur les répliques, reportez‑vous au Section 6.0, Gestion des partitions et des répliques.

Il est recommandé de posséder trois répliques pour garantir la tolérance aux pannes dans eDirectory (en supposant que vous disposiez de trois serveurs eDirectory sur lesquels les stocker). Un même serveur peut contenir les répliques de plusieurs partitions.

Un serveur de répliques est un serveur employé uniquement pour stocker des répliques eDirectory. Ce type de serveur est parfois appelé serveur DSMASTER. Cette configuration est appréciée de certaines entreprises qui possèdent de nombreux bureaux distants dotés d'un seul serveur. Le serveur de réplique permet de stocker des répliques supplémentaires pour la partition d'un site distant.

Il peut aussi faire partie d'un plan de reprise après sinistre, comme expliqué à la section Utilisation de serveurs DSMASTER dans le cadre d'un plan de reprise après sinistre.

La fonction de réplication eDirectory ne garantit pas la tolérance aux pannes au niveau du système de fichiers du serveur, car seules les informations relatives aux objets eDirectory sont répliquées. Vous pouvez toutefois assurer cette tolérance grâce au système de suivi des transactions TTS™ (Transaction Tracking System™), à la mise en miroir ou à la duplication de disques, à des systèmes RAID ou aux services NRS (NetIQ Replication Services).

Une réplique maîtresse ou une réplique en lecture/écriture est requise sur les serveurs qui fournissent des services de Bindery.

Si les utilisateurs accèdent régulièrement aux informations eDirectory au moyen d'une liaison WAN, vous pouvez réduire le temps d'accès et le trafic WAN en plaçant une réplique contenant les informations nécessaires sur un serveur auquel ils peuvent accéder localement.

Il en est de même à un degré moindre pour un lien LAN. Lorsque vous distribuez des répliques aux serveurs du réseau, les informations sont généralement récupérées sur le serveur disponible le plus proche.

1.6.1 Types de réplique

eDirectory prend en charge les types de répliques représentés sur la figure suivante :

Figure 1-19 Types de réplique

Réplique maîtresse

Icône de réplique maîtresse Une réplique maîtresse est une réplique inscriptible utilisée pour apporter initialement des modifications à un objet ou une partition. Ce type de réplique permet d'effectuer les opérations suivantes sur les partitions eDirectory :

  • ajouter des répliques sur des serveurs ;

  • supprimer des répliques sur des serveurs ;

  • créer des partitions dans l'arborescence eDirectory ;

  • supprimer des partitions dans l'arborescence eDirectory ;

  • déplacer une partition dans l'arborescence eDirectory.

La réplique maîtresse permet également d'effectuer les opérations suivantes sur les objets eDirectory :

  • ajouter de nouveaux objets à l'arborescence eDirectory ;

  • supprimer, renommer ou déplacer des objets dans l'arborescence eDirectory ;

  • authentifier des objets pour l'arborescence eDirectory ;

  • ajouter de nouveaux attributs d'objet à l'arborescence eDirectory ;

  • modifier ou supprimer des attributs.

Par défaut, le premier serveur eDirectory du réseau est celui qui héberge la réplique maîtresse. Chacune des partitions ne possède qu'une seule réplique maîtresse. Si vous créez d'autres répliques, il s'agit par défaut de répliques en lecture/écriture.

Si vous pensez arrêter plusieurs jours le serveur qui contient la réplique maîtresse, vous pouvez convertir en réplique maîtresse l'une des répliques en lecture/écriture. La réplique maîtresse initiale est automatiquement convertie en lecture/écriture.

Une réplique maîtresse doit être disponible sur le réseau pour qu'eDirectory puisse effectuer des opérations, comme créer une réplique ou une partition.

Réplique en lecture/écriture

Icône de réplique en lecture-écriture eDirectory peut consulter les informations sur les objets et les modifier tant dans une réplique Lecture-écriture que dans la réplique maîtresse. Toutes les modifications sont alors automatiquement répercutées dans toutes les répliques.

Si eDirectory répond lentement aux utilisateurs en raison de retards dans l'infrastructure du réseau (liaisons WAN à débit faible ou routeurs occupés, par exemple), vous pouvez créer une réplique Lecture-écriture plus proche des utilisateurs qui en ont besoin. Vous pouvez disposer d'autant de répliques Lecture/écriture que vous avez de serveurs pour les stocker. Notez cependant qu'une augmentation du nombre de répliques entraîne un accroissement du trafic pour assurer leur synchronisation.

Réplique en lecture seule

Icône de réplique en lecture seule Une réplique en lecture seule est une réplique lisible utilisée pour obtenir des informations sur tous les objets qui se trouvent dans les limites d'une partition. Les répliques en lecture seule reçoivent des mises à jour de synchronisation des répliques maîtresse et en lecture/écriture ; aucune modification n'est reçue directement des clients. Si la mise à jour de la connexion est activée, la connexion à la réplique en lecture seule échoue, car elle implique des mises à jour d'attributs.

Ce type de réplique ne permet pas d'émuler la Bindery, mais garantit la tolérance aux pannes dans eDirectory. Si la réplique maîtresse et toutes les répliques en lecture/écriture viennent à être détruites ou endommagées, la réplique en lecture seule peut devenir la nouvelle réplique maîtresse.

Ce type de réplique autorise en outre la lecture des objets NDS, la tolérance aux pannes (la réplique contient tous les objets compris dans les limites de la partition) et les connexions à l'arborescence NDS (la réplique contient l'objet Racine de partition).

Une réplique Lecture seule ne doit cependant jamais servir à l'établissement d'une règle de sécurité au sein d'une arborescence pour limiter les opérations de modification des objets, étant donné que le client peut toujours accéder à une réplique Lecture/écriture pour apporter des modifications. L'annuaire comporte d'autres outils pour la sécurité, notamment le filtre de droits hérités. Pour plus d'informations, reportez-vous à la section Filtre des droits hérités (IRF - Inherited Rights Filter).

Réplique en lecture/écriture filtrée

Icône de réplique Lecture-écriture filtrée Les répliques Lecture-écriture filtrées contiennent un ensemble filtré d'objets ou de classes d'objets accompagné d'un ensemble filtré des attributs et des valeurs correspondant à ces objets. Le contenu est limité aux types d'objets eDirectory et aux propriétés spécifiques du filtre de réplication du serveur hôte. Les utilisateurs peuvent lire et modifier le contenu de la réplique ; eDirectory peut accéder aux informations d'objet sélectionnées et les modifier. Les modifications sélectionnées sont alors automatiquement répercutées sur toutes les répliques.

Avec les répliques filtrées, vous ne pouvez disposer que d'un seul filtre par serveur. Cela signifie que tout filtre défini pour un serveur s'applique à toutes les répliques filtrées présentes sur ce serveur. Vous pouvez toutefois disposer d'autant de répliques filtrées que vous possédez de serveurs, mais un nombre élevé de répliques entraîne une augmentation du trafic afin d'assurer leur synchronisation.

Pour plus d'informations, reportez-vous à la section Répliques filtrées.

Réplique en lecture seule filtrée

Icône de réplique en lecture seule filtrée Les répliques en lecture seule filtrées contiennent un ensemble filtré d'objets ou de classes d'objets, accompagné d'un ensemble filtré des attributs et des valeurs correspondant à ces objets. Ces répliques reçoivent des mises à jour de synchronisation des répliques maîtresse et en lecture/écriture ; aucune modification n'est reçue directement des clients. Les utilisateurs peuvent afficher le contenu de ces répliques, mais ils ne peuvent pas le modifier. Le contenu est limité aux types d'objets eDirectory et aux propriétés spécifiques du filtre de réplication du serveur hôte.

Pour plus d'informations, reportez-vous à la section Répliques filtrées.

Réplique de référence subordonnée

Les répliques de référence subordonnée sont créées par le système. Elles ne contiennent pas toutes les données d'objet d'une réplique maîtresse ou d'une réplique en lecture/écriture. Elles ne contribuent donc pas à la tolérance aux pannes. Il s'agit de pointeurs internes générés pour contenir assez d'informations afin que eDirectory puisse résoudre les noms d'objet entre les partitions.

Vous ne pouvez pas supprimer une réplique de référence subordonnée. eDirectory la supprime automatiquement lorsqu'elle est inutile. Les répliques de référence subordonnée sont créées uniquement sur les serveurs qui possèdent une réplique d'une partition parente, mais aucune réplique des partitions enfants de cette dernière.

Si une réplique de la partition enfant est copiée sur un serveur contenant la réplique de la partition parent, la réplique de référence subordonnée est automatiquement supprimée.

1.6.2 Répliques filtrées

Les répliques filtrées contiennent un ensemble filtré d'objets ou de classes d'objets, accompagné d'un ensemble filtré des attributs et des valeurs correspondant à ces objets. Par exemple, vous pouvez avoir besoin de créer sur un même serveur un ensemble de répliques filtrées qui contienne uniquement des objets Utilisateur provenant de diverses partitions de l'arborescence eDirectory. En outre, vous pouvez choisir de n'inclure qu'un sous-ensemble des données des objets Utilisateur (par exemple Prénom, Nom et Numéro de téléphone).

Une réplique filtrée peut générer une vue des données eDirectory sur un seul serveur. À cette fin, les répliques filtrées vous permettent de créer une étendue et un filtre. Le serveur eDirectory peut alors héberger un ensemble de données bien défini provenant de nombreuses partitions de l'arborescence.

Les descriptions de l'étendue du serveur et des filtres de données sont enregistrées dans eDirectory et peuvent être gérées dans iManager, via l'objet Serveur.

Un serveur qui héberge une ou plusieurs répliques filtrées est doté d'un seul filtre de réplication. Par conséquent, toutes les répliques filtrées sur ce serveur contiennent le même sous-ensemble d'informations provenant de leurs partitions respectives. La réplique de partition maîtresse d'une réplique filtrée doit être hébergée sur un serveur eDirectory exécutant eDirectory 8.5 ou une version ultérieure.

Les répliques filtrées présentent les avantages suivants :

  • Réduction du trafic de synchronisation vers le serveur en réduisant le volume de données à répliquer à partir d'autres serveurs.

  • Réduction du nombre d'événements que NetIQ Identity Manager doit filtrer.

    Pour plus d'informations sur NetIQ Identity Manager, reportez-vous au Guide d'Administration de NetIQ Identity Manager.

  • Réduction de la taille de la base de données de l'Annuaire.

    Chaque réplique augmente la taille de la base de données. La création d'une réplique filtrée (au lieu d'une réplique complète), contenant uniquement des classes précises, permet de réduire la taille de la base de données locale.

    Par exemple, si l'arborescence contient 10 000 objets, mais que seul un pourcentage réduit de ceux-ci correspond à des objets Utilisateur, vous pouvez créer une réplique filtrée contenant uniquement des objets Utilisateur, au lieu d'une réplique complète contenant 10 000 objets.

Tout en permettant de filtrer les données stockées dans une base de données locale, la réplique filtrée est semblable à une réplique eDirectory normale. Vous pouvez à tout instant la convertir en une réplique complète.

REMARQUE :par défaut, les répliques filtrées ont pour filtres obligatoires Organisation et Unité organisationnelle.

Pour plus d'informations sur la configuration et la gestion des répliques filtrées, reportez-vous à la Section 6.6, Configuration et gestion des répliques filtrées.

Autorisation des connexions locales à des répliques filtrées

En plus de sélectionner l'option Activer la connexion locale dans iManager, pour autoriser les connexions locales à une réplique filtrée, vous devez aussi ajouter la classe ndsLoginProperties au filtre.