VNX:如何为每个 LDAP 域配置具有不同 OU 的 LDAP 多域
Summary: 对于每个 VDM 的 uid/gid/netgroup 解析,VNX 支持多个 LDAP 域。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
在某些情况下,客户可能需要选择不同的 LDAP 域或 LDAP 子域,以实现 uid/gid/netgroup 解析。
有一个这样的域结构:
根域 : root.domain.com
多个子域或不同的域
子域
:prod.root.domain.com LDAP 服务器 :10.x.x.1
dev.root.domain.com LDAP 服务器:10.x.x.2
sales.root.domain.com LDAP 服务器:10.x.x.3
配置在 Datamover 级别完成,NS 域在 VDM 级别配置。
在上面的案例中,配置按以下方式
完成:步骤1:在 VDM 的根目录下创建特定于域的 ldap<domain.conf> 文件在上面的示例中,我们有三个子域:prod、dev、sales
,我们创建了三个 ldap。<
domain.conf>文件
vi ldap.prod.conf
添加以下条目:
nss_base_passwd dc=prod,dc=root,dc=domain,dc=com?sub
nss_base_group dc=prod,dc=root,dc=domain,dc=com?sub
nss_base_hosts dc=prod,dc=root,dc=domain,dc=com?sub
nss_base_netgroup dc=prod,dc=root,dc=domain,dc=com?sub
同样,为其他域创建其他文件:
ldap.dev.conf 和 ldap.sales.conf
ldap.dev.conf:
nss_base_passwd dc=dev,dc=root,dc=domain,dc=com?sub
nss_base_group dc=dev,dc=root,dc=domain,dc=com?sub
nss_base_hosts dc=dev,dc=root,dc=domain,dc=com?sub
nss_base_netgroup dc=dev,dc=root,dc=domain,dc=com?sub
ldap.sales.conf
nss_base_passwd dc=sales,dc=root,dc=domain,dc=com?sub
nss_base_group dc=sales,dc=root,dc=domain,dc=com?sub
nss_base_hosts dc=sales,dc=root,dc=domain,dc=com?sub
nss_base_netgroup dc=sales,dc=root,dc=domain,dc=com?sub
步骤 2 : 上传 LDAP 配置文件
$ server_file server_x -put ldap.prod.conf ldap.prod.conf
$ server_file server_x -put ldap.dev.conf ldap.dev.conf
$ server_file server_x -put ldap.sales.conf ldap.sales.conf
步骤 3:添加 LDAP 服务器配置:
$ server_ldap server_2 -add -p -basedn dc=prod,dc=root,dc=domain,dc=com -servers 10.x.x.1 -binddn cn=admin,dc=prod,dc=root,dc=domain,dc=com -file ldap.prod.conf
$ server_ldap server_2 -add -p -basedn dc=dc=dev,dc=root,dc=domain,dc=com -servers 10.x.x.2 -binddn cn=admin,dc=dc=dev,dc=root,dc=domain,dc=com -file ldap.dev.conf
$ server_ldap server_2 -add -p -basedn dc=sales,dc=root,dc=domain,dc=com -servers 10.x.x.3 -binddn cn=admin,dc=sales,dc=root,dc=domain,dc=com -file ldap.sales.conf
步骤4:为每个 VDM
配置 nsdomain假设每个 VDM 都配置为特定的 VDM 名称 prod,sales 和 dev
$ server_nsdomains vdm_prod -set -resolver LDAP='dc=prod,dc=root,dc=domain,dc=com'
$ server_nsdomains vdm_dev -set -resolver LDAP='dc=dev,dc=root,dc=domain,dc=com'
$ server_nsdomains vdm_sales -set -resolver LDAP='dc=sales,dc=root,dc=domain,dc=com'
步骤5:验证查找
$ server_ldap vdm_prod -lookup -user <username
>$ server_ldap vdm_dev -lookup -user <username>
$ server_ldap vdm_sales -lookup -user <username>
$ server_ldap vdm_prod -lookup -group <groupname>
$ server_ldap vdm_dev -lookup -group <groupname>
$ server_ldap vdm_sales -lookup -group <groupname
>
$ server_ldap vdm_prod -lookup -netgroup <netgroupname>
$ server_ldap vdm_dev -lookup -netgroup netgroupname>
$ server_ldap vdm_sales -lookup -netgroup <netgroupname>
有关“man server_ldap
”中的文件名选项的更多信息,可进行<配置。
{-file <file_name>}
允许为每个域指定一个 LDAP 配置文件:
* 各种 LDAP 域可能具有不同的
架构(OpenLDAP、IdMU 等)或不同的自定义项
(非标准容器)。
* 所有 LDAP 域可以共享相同的 /.etc/ldap.conf 设置
文件,如果所有域都符合RFC2307,甚至可以不共享任何文件。
* 配置文件必须使用 server_file 放在 /.etc 中。
为了防止与其他系统文件发生冲突,
LDAP 配置需要以“ldap”
为前缀并以“.conf”为后缀,即“ldap<anything.conf>”。
* -file 选项的默认值是 “ldap.conf”。
* server_ldap -service -status 列出所有已配置的域及其
配置源(默认值、文件或配置文件)。几个
可以使用相同的 LDAP
配置文件配置 LDAP 域。
为 DM 根目录上的每个 VDM 配置 ldap.conf,为其指定有意义的名称,其中包含相应的条目和搜索范围。
ldap.conf 的最少条目为:
nss_base_passwd dc=ldap1,dc=local?sub
nss_base_group dc=ldap1,dc=local?sub
nss_base_hosts dc=ldap1,dc=local?sub
nss_base_netgroup dc=ldap1,dc=local?sub
如果使用 IDMU 或 SFU,则可能需要其他映射属性。
对于 IDMU,需要
以下内容#posixAccount User
nss_map_objectclass nss_map_objectclass posixGroup Group nss_map_objectclass
ipHost Computer
# userPassword nss_map_attribute属性
unixUserPassword
nss_map_attribute homeDirectory unixHomeDirectory
for SFU :
#
nss_map_objectclass posixAccount 用户
nss_map_objectclass posixGroup 组
nss_map_objectclass ipHost Computer
# 属性
nss_map_attribute uid msSFU30Name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute gecos msSFU30Gecos
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute loginShell msSFU30LoginShell
#
nss_map_attribute memberUid msSFU30MemberUid
nss_map_attribute ipHostNumber msSFU30IpHostNumber
有一个这样的域结构:
根域 : root.domain.com
多个子域或不同的域
子域
:prod.root.domain.com LDAP 服务器 :10.x.x.1
dev.root.domain.com LDAP 服务器:10.x.x.2
sales.root.domain.com LDAP 服务器:10.x.x.3
配置在 Datamover 级别完成,NS 域在 VDM 级别配置。
在上面的案例中,配置按以下方式
完成:步骤1:在 VDM 的根目录下创建特定于域的 ldap<domain.conf> 文件在上面的示例中,我们有三个子域:prod、dev、sales
,我们创建了三个 ldap。<
domain.conf>文件
vi ldap.prod.conf
添加以下条目:
nss_base_passwd dc=prod,dc=root,dc=domain,dc=com?sub
nss_base_group dc=prod,dc=root,dc=domain,dc=com?sub
nss_base_hosts dc=prod,dc=root,dc=domain,dc=com?sub
nss_base_netgroup dc=prod,dc=root,dc=domain,dc=com?sub
同样,为其他域创建其他文件:
ldap.dev.conf 和 ldap.sales.conf
ldap.dev.conf:
nss_base_passwd dc=dev,dc=root,dc=domain,dc=com?sub
nss_base_group dc=dev,dc=root,dc=domain,dc=com?sub
nss_base_hosts dc=dev,dc=root,dc=domain,dc=com?sub
nss_base_netgroup dc=dev,dc=root,dc=domain,dc=com?sub
ldap.sales.conf
nss_base_passwd dc=sales,dc=root,dc=domain,dc=com?sub
nss_base_group dc=sales,dc=root,dc=domain,dc=com?sub
nss_base_hosts dc=sales,dc=root,dc=domain,dc=com?sub
nss_base_netgroup dc=sales,dc=root,dc=domain,dc=com?sub
步骤 2 : 上传 LDAP 配置文件
$ server_file server_x -put ldap.prod.conf ldap.prod.conf
$ server_file server_x -put ldap.dev.conf ldap.dev.conf
$ server_file server_x -put ldap.sales.conf ldap.sales.conf
步骤 3:添加 LDAP 服务器配置:
$ server_ldap server_2 -add -p -basedn dc=prod,dc=root,dc=domain,dc=com -servers 10.x.x.1 -binddn cn=admin,dc=prod,dc=root,dc=domain,dc=com -file ldap.prod.conf
$ server_ldap server_2 -add -p -basedn dc=dc=dev,dc=root,dc=domain,dc=com -servers 10.x.x.2 -binddn cn=admin,dc=dc=dev,dc=root,dc=domain,dc=com -file ldap.dev.conf
$ server_ldap server_2 -add -p -basedn dc=sales,dc=root,dc=domain,dc=com -servers 10.x.x.3 -binddn cn=admin,dc=sales,dc=root,dc=domain,dc=com -file ldap.sales.conf
步骤4:为每个 VDM
配置 nsdomain假设每个 VDM 都配置为特定的 VDM 名称 prod,sales 和 dev
$ server_nsdomains vdm_prod -set -resolver LDAP='dc=prod,dc=root,dc=domain,dc=com'
$ server_nsdomains vdm_dev -set -resolver LDAP='dc=dev,dc=root,dc=domain,dc=com'
$ server_nsdomains vdm_sales -set -resolver LDAP='dc=sales,dc=root,dc=domain,dc=com'
步骤5:验证查找
$ server_ldap vdm_prod -lookup -user <username
>$ server_ldap vdm_dev -lookup -user <username>
$ server_ldap vdm_sales -lookup -user <username>
$ server_ldap vdm_prod -lookup -group <groupname>
$ server_ldap vdm_dev -lookup -group <groupname>
$ server_ldap vdm_sales -lookup -group <groupname
>
$ server_ldap vdm_prod -lookup -netgroup <netgroupname>
$ server_ldap vdm_dev -lookup -netgroup netgroupname>
$ server_ldap vdm_sales -lookup -netgroup <netgroupname>
有关“man server_ldap
”中的文件名选项的更多信息,可进行<配置。
{-file <file_name>}
允许为每个域指定一个 LDAP 配置文件:
* 各种 LDAP 域可能具有不同的
架构(OpenLDAP、IdMU 等)或不同的自定义项
(非标准容器)。
* 所有 LDAP 域可以共享相同的 /.etc/ldap.conf 设置
文件,如果所有域都符合RFC2307,甚至可以不共享任何文件。
* 配置文件必须使用 server_file 放在 /.etc 中。
为了防止与其他系统文件发生冲突,
LDAP 配置需要以“ldap”
为前缀并以“.conf”为后缀,即“ldap<anything.conf>”。
* -file 选项的默认值是 “ldap.conf”。
* server_ldap -service -status 列出所有已配置的域及其
配置源(默认值、文件或配置文件)。几个
可以使用相同的 LDAP
配置文件配置 LDAP 域。
为 DM 根目录上的每个 VDM 配置 ldap.conf,为其指定有意义的名称,其中包含相应的条目和搜索范围。
ldap.conf 的最少条目为:
nss_base_passwd dc=ldap1,dc=local?sub
nss_base_group dc=ldap1,dc=local?sub
nss_base_hosts dc=ldap1,dc=local?sub
nss_base_netgroup dc=ldap1,dc=local?sub
如果使用 IDMU 或 SFU,则可能需要其他映射属性。
对于 IDMU,需要
以下内容#posixAccount User
nss_map_objectclass nss_map_objectclass posixGroup Group nss_map_objectclass
ipHost Computer
# userPassword nss_map_attribute属性
unixUserPassword
nss_map_attribute homeDirectory unixHomeDirectory
for SFU :
#
nss_map_objectclass posixAccount 用户
nss_map_objectclass posixGroup 组
nss_map_objectclass ipHost Computer
# 属性
nss_map_attribute uid msSFU30Name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute gecos msSFU30Gecos
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute loginShell msSFU30LoginShell
#
nss_map_attribute memberUid msSFU30MemberUid
nss_map_attribute ipHostNumber msSFU30IpHostNumber
Products
VNX1 Series, VNX2 SeriesArticle Properties
Article Number: 000022751
Article Type: How To
Last Modified: 07 Nov 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.