VNX : Comment configurer plusieurs domaines LDAP avec des unités d’organisation différentes pour chaque domaine ldap

Dans certains cas, les clients peuvent souhaiter choisir différents domaines ou sous-domaines ldap pour les résolutions uid/gid/netgroup.
Il existe une structure de domaine comme celle-ci :

Domaine racine : root.domain.com
Plusieurs sous-domaines ou différents domaines tous ensemble

Sous-domaines :
prod.root.domain.com Serveur LDAP : 10.x.x.1
dev.root.domain.com serveur LDAP : 10.x.x.2
sales.root.domain.com serveur LDAP : 10.x.x.3

La configuration est effectuée au niveau du Datamover et le domaine NS est configuré au niveau du VDM.

Dans le cas ci-dessus, la configuration se fait de la manière

suivante : Etape 1 : Créez les fichiers ldap<domain.conf> spécifiques au domaine à la racine du VDM

Dans l’exemple ci-dessus, nous avons trois sous-domaines : prod ,dev ,sales

nous créons trois ldap.<domain.conf>files

vi ldap.prod.conf
Ajoutez les entrées suivantes :
nss_base_passwd dc=prod,dc=root,dc=domain,dc=com ?sub
nss_base_group dc=prod,dc=root,dc=domain,dc=com ?sub
nss_base_hosts dc=prod,dc=root,dc=domain,dc=com ?sub
nss_base_netgroup dc=prod,dc=root,dc=domain,dc=com ?sub

De même, créez des fichiers supplémentaires pour les autres domaines :
ldap.dev.conf et ldap.sales.conf

ldap.dev.conf :
nss_base_passwd dc=dev,dc=root,dc=domain,dc=com ?sub
nss_base_group dc=dev,dc=root,dc=domain,dc=com ?sub
nss_base_hosts dc=dev,dc=root,dc=domain,dc=com ?sub
nss_base_netgroup dc=dev,dc=root,dc=domain,dc=com ?sub

ldap.sales.conf
nss_base_passwd dc=sales,dc=root, dc=domain,dc=com ?sub
nss_base_group dc=sales,dc=root,dc=domain,dc=com ?sub
nss_base_hosts dc=sales,dc=root,dc=domain,dc=com ?sub
nss_base_netgroup dc=sales,dc=root,dc=domain,dc=com ?sub

Étape 2 :  Télécharger les fichiers

de configuration LDAP$ server_file server_x -put ldap.prod.conf ldap.prod.conf
$ server_file server_x -put ldap.dev.conf ldap.dev.conf
$ server_file server_x -put ldap.sales.conf ldap.sales.conf

Étape 3 : Ajoutez la configuration des serveurs LDAP :

$ server_ldap server_2 -add -p -basedn dc=prod,dc=root,dc=domain,dc=com -servers 10.x.x.1 -binddn cn=admin,dc=prod,dc=root,dc=domain,dc=com -file ldap.prod.conf
$ server_ldap server_2 -add -p -basedn dc=dc=dev,dc=root,dc=domain,dc=com -servers 10.x.x.2 -binddn cn=admin,dc=dc=dev,dc=root,dc=domain,dc=com -file ldap.dev.conf
$ server_ldap server_2 -add -p -basedn dc=sales,dc=root,dc=domain,dc=com -servers 10.x.x.3 -binddn cn=admin,dc=sales,dc=root,dc=domain,dc=com -file ldap.sales.conf

Étape 4 : Configurer les nsdomains pour chaque Data Mover

virtuelEn supposant que chaque VDM est configuré pour les noms de VDM spécifiques prod,sales et dev

$ server_nsdomains vdm_prod -set -resolver LDAP='dc=prod,dc=root,dc=domain,dc=com'
$ server_nsdomains vdm_dev -set -resolver LDAP='dc=dev,dc=root,dc=domain,dc=com'
$ server_nsdomains vdm_sales -set -resolver LDAP='dc=sales,dc=root,dc=domain, dc=com’Étape

5 :  Vérifier les recherches
$ server_ldap vdm_prod -lookup -nom <d’utilisateur>
$ server_ldap vdm_dev -lookup -nom <d’utilisateur
>$ server_ldap vdm_sales -lookup -nom <d’utilisateur>

$ server_ldap vdm_prod -lookup -group <name>
$ server_ldap vdm_dev -lookup -group <groupname>
$ server_ldap vdm_sales -lookup -group <groupname
>
$ server_ldap vdm_prod -lookup -netgroup <netgroupname>
$ server_ldap vdm_dev -lookup -netgroup netgroupname
>$ server_ldap vdm_sales -lookup -netgroup <netgroupname>

Plus d’informations sur l’option de nom de fichier dans « man server_ldap »
pour la< configuration.

{-file <file_name>}
Permet de spécifier un fichier de configuration LDAP par domaine :

 * Les différents domaines LDAP peuvent avoir des schémas
différents (OpenLDAP, IdMU, etc.) ou des personnalisations
différentes (conteneurs non standard).
 * Tous les domaines LDAP peuvent partager le même fichier de configuration
/.etc/ldap.conf ou même aucun fichier si tous les domaines sont conformes à la RFC2307.
 * Les fichiers de configuration doivent être placés dans /.etc à l’aide de server_file.
   Afin d’éviter les collisions avec d’autres fichiers système, il est nécessaire que la configuration LDAP soit précédée de « ldap »
et du suffixe « .conf », c’est-à-dire
« ldap<anything.conf> ».
 * La valeur par défaut de l’option -file est « ldap.conf ».
 * server_ldap -service -status répertorie tous les domaines configurés
et leur source de configuration (par défaut, fichier ou profil). Plusieurs
   Les domaines LDAP peuvent être configurés à l’aide du même fichier de configuration LDAP
.

Configurez ldap.conf avec un nom significatif pour chaque VDM à la racine du DM avec les entrées appropriées et le périmètre de recherche.
Les entrées minimales pour un fichier ldap.conf sont les suivantes :
nss_base_passwd dc=ldap1,dc=local ?sub
nss_base_group dc=ldap1,dc=local ?sub
nss_base_hosts dc=ldap1,dc=local ?sub
nss_base_netgroup dc=ldap1,dc=local ?sub

Si vous utilisez IDMU ou SFU, des attributs de mappage supplémentaires peuvent être requis.

Pour IDMU, les éléments suivants sont requis
# Objets
nss_map_objectclass posixAccount User
nss_map_objectclass posixGroup Group
nss_map_objectclass ipHost Computer

# Attributs
nss_map_attribute userPassword unixUserPassword
nss_map_attribute homeDirectory unixHomeDirectory

for SFU :

# Objets
nss_map_objectclass posixAccount User
nss_map_objectclass posixGroup Group
nss_map_objectclass ipHost Computer

# Attributs
nss_map_attribute uid msSFU30Name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute gecos msSFU30Gecos
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute loginShell msSFU30LoginShell
#
nss_map_attribute memberUid msSFU30MemberUid
nss_map_attribute ipHostNumber msSFU30IpHostNumber