VNX: Jak skonfigurować wiele domen LDAP z różnymi jednostkami organizacyjnymi dla każdej domeny LDAP

Istnieją sytuacje, w których klienci mogą chcieć wybrać różne domeny LDAP lub subdomeny LDAP dla rozwiązań uid/gid/netgroup.
Istnieje taka struktura domen :

Domena główna: root.domain.com
Wiele subdomen lub różne domeny razem

Subdomeny:
prod.root.domain.com Serwer LDAP: 10.x.x.1
dev.root.domain.com Serwer LDAP: 10.x.x.2
sales.root.domain.com Serwer LDAP: 10.x.x.3

Konfiguracja odbywa się na poziomie Datamover, a domena NS jest konfigurowana na poziomie VDM.

W powyższym przypadku konfiguracja odbywa się w następujący sposób

Krok 1 : Utwórz specyficzne dla domeny pliki ldap<domain.conf> w katalogu głównym VDM

W powyższym przykładzie mamy trzy subdomeny: prod ,dev ,sales

tworzymy trzy ldap.<domain.conf>vi

ldap.prod.conf
Dodaj następujące wpisy:
nss_base_passwd dc=prod,dc=root,dc=domain,dc=com?sub
nss_base_group dc=prod,dc=root,dc=domain,dc=com?sub
nss_base_hosts dc=prod,dc=root,dc=domain,dc=com?sub
nss_base_netgroup dc=prod,dc=root,dc=domain,dc=com?sub

Podobnie utwórz dodatkowe pliki dla innych domen:
ldap.dev.conf i ldap.sales.conf

ldap.dev.conf:
nss_base_passwd dc=dev,dc=root,dc=domain,dc=com?sub
nss_base_group dc=dev,dc=root,dc=domain,dc=com?sub
nss_base_hosts dc=dev,dc=root,dc=domain,dc=com?sub
nss_base_netgroup dc=dev,dc=root,dc=domain,dc=com?sub

ldap.sales.conf
nss_base_passwd dc=sales,dc=root, dc=domena,dc=com?sub
nss_base_group dc=sprzedaż,dc=korzeń,dc=domena,dc=com?sub
nss_base_hosts dc=sprzedaż,dc=korzeń,dc=domena,dc=com?sub
nss_base_netgroup dc=sprzedaż,dc=korzeń,dc=domena,dc=com?sub

Krok 2 :  Prześlij pliki

konfiguracyjne LDAP$ server_file server_x -put ldap.prod.conf ldap.prod.conf
$ server_file server_x -put ldap.dev.conf ldap.dev.conf
$ server_file server_x -put ldap.sales.conf ldap.sales.conf

Krok 3: Dodaj konfigurację serwerów LDAP:

$ server_ldap server_2 -add -p -basedn dc=prod,dc=root,dc=domena,dc=com -servers 10.x.x.1 -binddn cn=admin,dc=prod,dc=root,dc=domena,dc=com -file ldap.prod.conf
$ server_ldap server_2 -add -p -basedn dc=dc=dev,dc=root,dc=domain,dc=com -servers 10.x.x.2 -binddn cn=admin,dc=dc=dev,dc=root,dc=domain,dc=com -file ldap.dev.conf
$ server_ldap server_2 -add -p -basedn dc=sprzedaż,dc=korzeń,dc=domena,dc=com -serwery 10.x.x.3 -binddn cn=admin,dc=sprzedaż,dc=root,dc=domena,dc=com -plik ldap.sales.conf

Krok 4: Skonfiguruj nsdomains dla każdego VDM

Zakładając, że każdy VDM jest skonfigurowany dla nazw VDM prod,sales i dev

$ server_nsdomains vdm_prod -set -resolver LDAP='dc=prod,dc=root,dc=domain,dc=com'
$ server_nsdomains vdm_dev -set -resolver LDAP='dc=dev,dc=root,dc=domain,dc=com'
$ server_nsdomains vdm_sales -set -resolver LDAP='dc=sales,dc=root,dc=domain, dc=com'Krok

5:  Weryfikowanie wyszukiwań
$ server_ldap vdm_prod -lookup -<user nazwa_użytkownika>
$ server_ldap vdm_dev -lookup -<user nazwa_użytkownika>
$ server_ldap vdm_sales -lookup -<user nazwa_użytkownika$ server_ldap vdm_prod -lookup -group nazwa>

_
>grupy$ server_ldap vdm_dev -lookup -group <nazwa_>
grupy$ server_ldap vdm_sales -lookup -group <nazwa_

>grupy$ server_ldap vdm_prod -lookup -netgroup <nazwa_grupy_sieciowej>
<$ server_ldap vdm_dev -lookup -netgroup nazwa
_grupy_sieciowej$ server_ldap vdm_sales -lookup -nazwa<_>

grupy_sieciowejWięcej informacji na temat opcji nazwy pliku w "man server_ldap"
do konfiguracji.><

{-file <file_name>}
Umożliwia określenie pliku konfiguracyjnego LDAP dla każdej domeny:

 * Różne domeny LDAP mogą mieć różne schematy
(OpenLDAP, IdMU itd.) lub różne dostosowania
(kontenery niestandardowe).
 * Wszystkie domeny LDAP mogą współużytkować ten sam plik instalacyjny
/.etc/ldap.conf lub nawet nie udostępniać żadnego pliku, jeśli wszystkie domeny są zgodne z RFC2307.
 * Pliki konfiguracyjne należy umieścić w /.etc przy użyciu server_file.
   Aby zapobiec kolizjom z innymi plikami systemowymi, wymagane jest
, aby konfiguracja LDAP była poprzedzona prefiksem "ldap"
i sufiksem ".conf", tj. "ldap<anything.conf>".
 * Domyślną wartością opcji -file jest "ldap.conf".
 * server_ldap -service -status wyświetla listę wszystkich skonfigurowanych domen
i ich źródła konfiguracji (domyślnie, plik lub profil). Kilka
   Domeny LDAP można skonfigurować przy użyciu tego samego pliku konfiguracyjnego LDAP
.

Skonfiguruj ldap.conf przy użyciu zrozumiałej nazwy dla każdego vdm w katalogu głównym DM z odpowiednimi wpisami i zakresem wyszukiwania.
Minimalna liczba wpisów dla pliku ldap.conf to: :
nss_base_passwd dc=ldap1,dc=local?sub
nss_base_group dc=ldap1,dc=local?sub
nss_base_hosts dc=ldap1,dc=local?sub
nss_base_netgroup dc=ldap1,dc=local?sub

W przypadku korzystania z IDMU lub SFU mogą być wymagane dodatkowe atrybuty mapowania.

Dla IDMU wymagane
są następujące elementy# Obiektynss_map_objectclass posixAccount User
nss_map_objectclass posixGroup Group
nss_map_objectclass ipHost Computer

# Atrybuty
nss_map_attribute userPasswordunixUserPassword
nss_map_attribute homeDirectory unixHomeDirectory

dla SFU :
#

Obiekty
nss_map_objectclass posixAccount User
nss_map_objectclass posixGroup Group
nss_map_objectclass ipHost Computer

# Atrybuty
nss_map_attribute uid msSFU30Name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute gecos msSFU30Gecos
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute loginShell msSFU30LoginShell
#
nss_map_attribute memberUid msSFU30MemberUid
nss_map_attribute ipHostNumber msSFU30IpHostNumber