
<html>

  <head>

    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    On 08/30/2012 12:52 PM, Lucas Sweany wrote:

    <blockquote

cite="mid:CAFCaXbK+a0YrB8tLAznBNUu=R1JBeSdiAzMwwp+8b25mCRHTwQ@mail.gmail.com"

      type="cite">I would like to protect certain entries in a hub

      389-ds host from getting obliterated during a full

      re-initialization of an agreement. Strange yes, but hear me out.<br>

      <br>

      To keep duty separation intact, we've set up a scenario where

      we've got one group managing Active Directory and one 389 server

      (389-A), and another group maintaining a 389 hub (389-B). 389-A

      syncs from AD one-way, and then replicates to 389-B.  However,

      things like sudoers and posix attributes (uids and gids) are

      managed on 389-B for convenience. Unfortunately, the sudoers OU

      and uids/gids get destroyed if 389-A performs a re-initialization

      of the agreement--by design I'm sure.<br>

      <br>

      Is there a way to protect the sudoers OU and specific attributes

      of users on 389-B in this scenario? It looks like my options are

      to mess with fractional replication, ACIs, to meticulously back-up

      these attributes and restore them in the rare event we need to

      re-initialize, or to give up the convenience and have those

      attributes managed on 389-A. <br>

      <br>

      Is there no easy answer to this without giving up the ability to

      manage some things locally on 389-B?<br>

    </blockquote>

    <br>

    Can you separate the data by suffix?  The unit of replication is a

    database, so if you can create a sub-suffix in its own database, you

    could replicate that separately.<br>

    <br>

<a class="moz-txt-link-freetext" href="https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Directory_Server/9.0/html/Administration_Guide/Configuring_Directory_Databases.html">https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Directory_Server/9.0/html/Administration_Guide/Configuring_Directory_Databases.html</a><br>

    <blockquote

cite="mid:CAFCaXbK+a0YrB8tLAznBNUu=R1JBeSdiAzMwwp+8b25mCRHTwQ@mail.gmail.com"

      type="cite"><br>

      Thanks,<br>

      <br>

      -Lucas<br>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">--

389 users mailing list

<a class="moz-txt-link-abbreviated" href="mailto:389-users@lists.fedoraproject.org">389-users@lists.fedoraproject.org</a>

<a class="moz-txt-link-freetext" href="https://admin.fedoraproject.org/mailman/listinfo/389-users">https://admin.fedoraproject.org/mailman/listinfo/389-users</a></pre>

    </blockquote>

    <br>

  </body>

</html>