Zdravim,
mam dotaz ohledne LDAPu, je to asi docela typicka situace, ale
nepodarilo
se mi najit zadne best practices, ktere by popisovaly reseni dostatecne
zevrubne - vyhody, nevyhody ruznych reseni apod.
Situace: centrala spolecnosti s LDAP serverem (srv1) + pobocka s
vlastnim serverem (srv2)
Oba servery FBSD, propojene pomoci openvpn.
srv1 obhospodaruje maily vsech uzivatelu, vcetne uzivatelu z pobocky
(to nechci menit).
Proto LDAP na srv1 obsahuje zaznamy techto uzivatelu
(oc posixAccount, inetOrgPerson, dn: uid=vomacka, ou=pobocka,
ou=people, dc=domena, dc=cz)
Zaroven srv1 osahuje zaznamy posixAccount+sambaSamAccount pro
uzivatele Windows v centrale
(domena s cestovnimi profily) - dn: uid=novak, ou=centrala, ou=people,
dc=domena, dc=cz.
Problem: srv2 by mel zacit fungovat jako Windows domain server pro
pobocku. Chci
tedy nejakym zpusobem zaznamy pod ou=pobocka, ou=people, dc=domena,
dc=cz zreplikovat
na LDAP server srv2. Nechci ale replikovat zaznamy pod ou=centrala,
ou=people, dc=domena, dc=cz.
Zaroven by bylo fajn, kdyby LDAP db na srv2 mohlo obsahovat nejake veci,
ktere by byly specificke jenom pro srv2, treba:
oc sambaDomain: sambaDomainName=pobocka, ou=samba, ou=pobocka,
dc=domena, dc=cz.
Nejpruhlednejsi reseni mi prijde na srv1 vytvorit podstrom ou=pobocka,
dc=domena, dc=cz
se vsim, co by srv2 mohl potrebovat
a ten zreplikovat na srv2. Problem je, ze uzivatelske ucty by potom
byly v
ou=people, ou=pobocka, dc=domena, dc=cz, ale ja bych je kvuli
dorucovani mailu
na srv1 potreboval mit pod ou=people, dc=domena, dc=cz.
Co s tim? Vyresit to aliasem z ou=pobocka, ou=people, dc=domena, dc=cz?
Nebude to zbytecne delat problemy? (bude nutny nastavit deref do vsech
aplikaci, ktere LDAP pouzivaji)
Daleko nejvic by se mi ale libilo, kdyby srv2 lokalne mel "kostru":
ou=people, ou=pobocka, dc=domena, dc=cz
a treba ou=groups, ou=pobocka, dc=domena, dc=cz apod. a pod touto
kostrou mel "namountovane" (zreplikovane,
cachovane apod.) zaznamy, ktere najde na srv1 pod ou=pobocka,
ou=people, dc=domena, dc=cz
Jde mi ale o to, aby zaznamy byly skutecne zreplikovane, protoze
preposilani
dotazu na centralni server by zdrzovalo a zahlcovalo linku.
Nebo doporucujete pouzit slapo-pcache a pro jednotlive subsystemy na
srv2 nastavit
hledani pod ou=pobocka, ou=people, dc=domena, dc=cz?
Nevim, jestli jsem to popsal srozumitelne, snad to pochopite. Jake
mate zkusenosti vy?
Jaky zpusob distribuovani LDAP zaznamu pouzivate?
Diky za jakekoliv rady!
Mirek
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
