VNX. Настройка многодоменных доменов LDAP с разными подразделениями для каждого домена LDAP

В ситуациях заказчикам может потребоваться выбрать разные домены или поддомены LDAP для разрешений UID/GID/сетевой группы.
Существует такая

структура домена:Корневой домен : root.domain.com
Несколько поддоменов или разных доменов все вместе

Поддомены:
prod.root.domain.com LDAP сервер : 10.x.x.1
dev.root.domain.com сервер LDAP : 10.x.x.2
sales.root.domain.com сервер LDAP: 10.x.x.3

. Конфигурация выполняется на уровне модуля переноса данных, а домен NS настраивается на уровне VDM.

В приведенном выше случае настройка выполняется следующим образом

Шаг 1 : Создайте файлы ldap<domain.conf> для домена в корневом каталоге модуля VDM 

. В приведенном выше примере у нас есть три поддомена: prod ,dev ,sales

мы создаем три ldap.<domain.conf>файлы

vi ldap.prod.conf
Добавьте следующие записи:
nss_base_passwd dc=prod,dc=root,dc=domain,dc=com?sub
nss_base_group dc=prod,dc=root,dc=domain,dc=com?sub
nss_base_hosts dc=prod,dc=root,dc=domain,dc=com?sub
nss_base_netgroup dc=prod,dc=root,dc=domain,dc=com?sub

Аналогично создайте дополнительные файлы для других доменов:
ldap.dev.conf и ldap.sales.conf

ldap.dev.conf:
nss_base_passwd dc=dev,dc=root,dc=domain,dc=com?sub
nss_base_group dc=dev,dc=root,dc=domain,dc=com?sub
nss_base_hosts dc=dev,dc=root,dc=domain,dc=com?sub
nss_base_netgroup dc=dev,dc=root,dc=domain,dc=com?sub

ldap.sales.conf
nss_base_passwd dc=sales,dc=root, dc=домен,dc=com?sub
nss_base_group dc=sales,dc=root,dc=домен,dc=com?sub
nss_base_hosts dc=sales,dc=root,dc=домен,dc=com?sub
nss_base_netgroup dc=sales,dc=root,dc=domain,dc=com?sub

Шаг 2 : Загрузка файлов

конфигурации LDAP$ server_file server_x -put ldap.prod.conf ldap.prod.conf
$ server_file server_x -put ldap.dev.conf ldap.dev.conf
$ server_file server_x -put ldap.sales.conf ldap.sales.conf

Шаг 3: Добавьте конфигурацию серверов LDAP:

$ server_ldap server_2 -add -p -basedn dc=prod,dc=root,dc=domain,dc=com -servers 10.x.x.1 -binddn cn=admin,dc=prod,dc=root,dc=domain,dc=com -file ldap.prod.conf
$ server_ldap server_2 -add -p -basedn dc=dc=dev,dc=root,dc=domain,dc=com -servers 10.x.x.2 -binddn cn=admin,dc=dc=dev,dc=root,dc=domain,dc=com -file ldap.dev.conf
$ server_ldap server_2 -add -p -basedn dc=sales,dc=root,dc=domain,dc=com -servers 10.x.x.3 -binddn cn=admin,dc=sales,dc=root,dc=domain,dc=com -file ldap.sales.conf

Шаг 4: Настройте nsdomains для каждого модуля VDM

Предполагая, что каждый модуль VDM настроен для отдельных имен VDM prod,sales и dev

$ server_nsdomains vdm_prod -set -resolver LDAP='dc=prod,dc=root,dc=domain,dc=com'
$ server_nsdomains vdm_dev -set -resolver LDAP='dc=dev,dc=root,dc=domain,dc=com'
$ server_nsdomains vdm_sales -set -resolver LDAP='dc=sales,dc=root,dc=domain, dc=com'Шаг

5:  Проверка поиска
$ server_ldap vdm_prod -lookup -имя пользователя <>
$ server_ldap vdm_dev -lookup -имя пользователя
>< $ server_ldap vdm_sales -lookup -имя пользователя <>

$ server_ldap vdm_prod -lookup -group <groupname>
$ server_ldap vdm_dev -lookup -group <groupname>
$ server_ldap vdm_sales -lookup -group <groupname
>
$ server_ldap vdm_prod -lookup -netgroup <netgroupname>
$ server_ldap vdm_dev -lookup -netgroup netgroup_>
server_ldap vdm_sales -lookup -netgroup <netgroup_netgroupname
>
Дополнительные сведения о параметре имени файла можно найти в разделе «man server_ldap»
для< настройки.

{-file <file_name>}
Позволяет указать файл конфигурации LDAP для каждого домена:

 * Различные домены LDAP могут иметь разные схемы
(OpenLDAP, IdMU и т. д.) или различные настройки
(нестандартные контейнеры).
 * Все домены LDAP могут использовать один и тот же установочный
файл /.etc/ldap.conf или даже не использовать ни одного файла, если все домены соответствуют RFC2307.
 * Файлы конфигурации должны быть помещены в каталог /.etc с помощью server_file.
   Во избежание конфликтов с другими системными файлами необходимо
, чтобы конфигурация LDAP имела префикс «ldap»
и суффикс «.conf», т. е. «ldap<anything.conf>».
 * Значение по умолчанию параметра -file — «ldap.conf».
 * server_ldap -service -status перечисляет все настроенные домены,
а также их источник конфигурации (по умолчанию, файл или профиль). Несколько
   Домены LDAP можно настроить с помощью одного файла конфигурации LDAP
.

Настройте файл ldap.conf с осмысленным именем для каждого модуля VDM в корневом каталоге DM с соответствующими записями и областью поиска.
Минимальные записи для ldap.conf: nss_base_passwd dc=ldap1,dc=local?sub
nss_base_group dc=ldap1,dc=local?sub
nss_base_hosts dc=ldap1,dc=local?sub
nss_base_netgroup dc=ldap1,dc=local?sub

При использовании IDMU или SFU могут потребоваться дополнительные атрибуты сопоставления.


Для IDMU необходимо
# Objectsnss_map_objectclass posixAccount User
nss_map_objectclass posixGroup Group
Group nss_map_objectclass ipHost Computer

# Attributes
nss_map_attribute userPassword unixUserPassword
nss_map_attribute homeDirectory unixHomeDirectory

for SFU :
#

Объекты
nss_map_objectclass posixAccount User
nss_map_objectclass posixGroup Group
nss_map_objectclass ipHost Computer

# Атрибуты
nss_map_attribute uid msSFU30Name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute gecos msSFU30Gecos
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute loginShell msSFU30LoginShell
#
nss_map_attribute memberUid msSFU30MemberUid
nss_map_attribute ipHostNumber msSFU30IpHostNumber