Ahora SI está claro, aunque me ha costado sudor y lágrimas:
Allá va la solución:
* En el maestro:
replogfile /var/lib/ldap/replog
replica host=192.168.1.1:389
binddn="cn=slave-replica,dc=dominio,dc=net"
credentials=*****
bindmethod=simple
tls=no
Sin más, ni tiene que existir un usuario especial ni NADA.
* EN el esclavo:
updatedn "cn=slave-replica,dc=dominio,dc=net"
# ¡¡¡EL USUARIO UPDATEDN ES EL ÚNICO QUE PUEDE MODIFICAR COSAS, SEA DESDE EL
MAESTRO O DIRECTAMENTE!!!
updateref ldap://192.168.1.100:389
access to *
by dn="cn=slave-replica,dc=dominio,dc=net" write
by * read
# No hace falta que exista ni admin ni nada, sólo "updatedn" es quien puede
modificar.
Mi fallo era que hacía la replica directamente con "admin", y encima hacía en
el esclavo el Bind con "admin", por lo que era el usuario "updatedn" y
entonces SI me dejaba hacer cambios.
Lo que no consigo es que Kaddressbook (que parece implementar los referral) se
loguee en el esclavo para escritura y éste le haga el referral (indicando el
maestro) para que Kaddressbook haga en él los cambios. Creo que el bind
contra el maestro lo hace SIEMPRE como anónimo ¿?¿?¿? ¿un bug?
La replicación maestro->esclavo tira perfecto.
Bueno, algo hemos avanzado :)
--
Iñaki
Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista