389 Directory と AD の連携 (LDAP->AD 編)

前々回の389 Directory と AD の連携 (AD-> LDAP 編)の設定で双方向レプリケーションは自然に出来ているはず。が、どうも私の環境だとうまく行かない。389 Directory 側のエントリを modify しても AD に伝播してくれないのだ。

エラーログには以下のメッセージが。

NSMMReplicationPlugin - replica_update_state - Failed to update state of csn generator for replica dc=example,dc=com: LDAP error - 32

該当箇所のソースを見たがすぐにわかるようなものじゃないことが判明。仕方なくデバッグログ(nsslapd-errorlog-level: 8320)を出してみる。すると以下が。

Received result code 50 (00002098: SecErr: DSID-03150E49, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0 ) for modify operation

見覚えのあるエラー。AD 側に作ったレプリケーション用ユーザの権限が甘かったらしい。このユーザを Domain Admins グループに追加したところ OK。ここに書いてあった「Write/Create all child objects/Delete all child objects/Add GUID」は全部確認したんだけどなぁ...

まぁともあれ双方向レプリケーションは出来た。ちなみに LDAP-> AD 向きのパスワード同期については、ldappasswd (LDAPv3 Password Modify -RFC 3062) では駄目で、ldapmodify で userPassword に対して生パスワードを設定する必要がある。