LDAP a pobockovy server

Miroslav Prýmek m.prymek at gmail.com
Thu Jun 4 16:13:30 CEST 2009


Zdravim,

mam dotaz ohledne LDAPu, je to asi docela typicka situace, ale  
nepodarilo
se mi najit zadne best practices, ktere by popisovaly reseni dostatecne
zevrubne - vyhody, nevyhody ruznych reseni apod.

Situace: centrala spolecnosti s LDAP serverem (srv1) + pobocka s  
vlastnim serverem (srv2)
Oba servery FBSD, propojene pomoci openvpn.

srv1 obhospodaruje maily vsech uzivatelu, vcetne uzivatelu z pobocky  
(to nechci menit).
Proto LDAP na srv1 obsahuje zaznamy techto uzivatelu
(oc posixAccount, inetOrgPerson, dn: uid=vomacka, ou=pobocka,  
ou=people, dc=domena, dc=cz)

Zaroven srv1 osahuje zaznamy posixAccount+sambaSamAccount pro  
uzivatele Windows v centrale
(domena s cestovnimi profily) - dn: uid=novak, ou=centrala, ou=people,  
dc=domena, dc=cz.

Problem: srv2 by mel zacit fungovat jako Windows domain server pro  
pobocku. Chci
tedy nejakym zpusobem zaznamy pod ou=pobocka, ou=people, dc=domena,  
dc=cz zreplikovat
na LDAP server srv2. Nechci ale replikovat zaznamy pod ou=centrala,  
ou=people, dc=domena, dc=cz.
Zaroven by bylo fajn, kdyby LDAP db na srv2 mohlo obsahovat nejake veci,
ktere by byly specificke jenom pro srv2, treba:
oc sambaDomain: sambaDomainName=pobocka, ou=samba, ou=pobocka,  
dc=domena, dc=cz.

Nejpruhlednejsi reseni mi prijde na srv1 vytvorit podstrom ou=pobocka,  
dc=domena, dc=cz
se vsim, co by srv2 mohl potrebovat
a ten zreplikovat na srv2. Problem je, ze uzivatelske ucty by potom  
byly v
ou=people, ou=pobocka, dc=domena, dc=cz, ale ja bych je kvuli  
dorucovani mailu
na srv1 potreboval mit pod ou=people, dc=domena, dc=cz.
Co s tim? Vyresit to aliasem z ou=pobocka, ou=people, dc=domena, dc=cz?
Nebude to zbytecne delat problemy? (bude nutny nastavit deref do vsech  
aplikaci, ktere LDAP pouzivaji)

Daleko nejvic by se mi ale libilo, kdyby srv2 lokalne mel "kostru":  
ou=people, ou=pobocka, dc=domena, dc=cz
a treba ou=groups, ou=pobocka, dc=domena, dc=cz apod. a pod touto  
kostrou mel "namountovane" (zreplikovane,
cachovane apod.) zaznamy, ktere najde na srv1 pod ou=pobocka,  
ou=people, dc=domena, dc=cz
Jde mi ale o to, aby zaznamy byly skutecne zreplikovane, protoze  
preposilani
dotazu na centralni server by zdrzovalo a zahlcovalo linku.

Nebo doporucujete pouzit slapo-pcache a pro jednotlive subsystemy na  
srv2 nastavit
hledani pod ou=pobocka, ou=people, dc=domena, dc=cz?

Nevim, jestli jsem to popsal srozumitelne, snad to pochopite. Jake  
mate zkusenosti vy?
Jaky zpusob distribuovani LDAP zaznamu pouzivate?

Diky za jakekoliv rady!

Mirek




More information about the Users-l mailing list