<br><br><div class="gmail_quote">On Tue, Jun 9, 2009 at 4:06 PM, Rich Megginson <span dir="ltr"><<a href="mailto:rmeggins@redhat.com">rmeggins@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div><div></div><div class="h5">Chris Phillips wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hi,<br>
<br>
I've a cluster of boxes with replication form two multimasters to 6 read only replicas. There appears to be a problem in the replication in that the error logs state that the DSA is unwilling to process updates for a specific user account, so the replication status in the idm just stays at saying it started rather than completed. I could just delete the account and recreate it, but as it's unfortunately *my* account (and is in this state *possibly* because I was messing with the resetpasswordretrytime field (or something very similarly named) which I get the impression is treated differently to other fields) I'd like to avoid deleting the account.<br>

<br>
To this end I'm hoping a suitable solution is to remove whatever the change is that is trying to be pushed across, but I can't see any way with SSL replication to see what the actual attributes it doesn't like are. Any way to pull this straight out with ldapsearch or something? Any tips for elegantly troubleshooting this in a heavily locked down environment would be appreciated.<br>

</blockquote>
<br></div></div>
Yes, it probably has to do with one of those password related operational attributes.  There are a couple of ways to handle this<br>
1) change your replication agreement to exclude the attributes passwordRetryCount, retryCountResetTime, and accountUnlockTime - you do this by adding these attributes to be excluded in fractional replication - you should be able to modify your existing replication agreements to exclude these<br>

2) add the attribute passwordIsGlobalPolicy in cn=config to "on" on your servers - this will allow those attributes to be replicated</blockquote><div><br>This seems to fit in exactly, thanks. If I set this value on a read only replica, what will happen if it is locked out on that replica? Presumably despite this setting that can't get replicated back up to the multimasters?<br>
<br>As an alternative to changing the policy, can I manually undo these changes? TBH I'm not too clued up on what triggers an attribute like this to be chosen to be replicated in the first place, if it's a hidden timestamp or such.<br>
<br>Thanks<br><br>Chris<br></div></div><br>