VNX：如何為每個 LDAP 網域設定具有不同 OU 的 LDAP 多網域

在某些情況下，客戶可能會想要選擇不同的 ldap 網域或 ldap 子網域來解決 uid/gid/netgroup 問題。
有一個像這樣的域結構：

根域：root.domain.com
多個子域或不同的域一起

子域：
prod.root.domain.com LDAP伺服器：10.x.x.1
dev.root.domain.com LDAP 伺服器：10.x.x.2
sales.root.domain.com LDAP 伺服器：10.x.x.3

組態是在資料移動者層級完成，NS 網域是在 VDM 層級完成。

在上述情況下，配置按以下步驟

1 完成：在 VDM 的根目錄建立網域特定的 ldap<domain.conf> 檔案在上述範例中，我們有三個子域：prod 、dev、sales

我們建立三個 ldap。<

domain.conf>files

vi ldap.prod.conf
新增下列項目：
nss_base_passwd dc=prod，dc=root，dc=domain，dc=com？sub
nss_base_group dc=prod，dc=root，dc=domain，dc=com？sub
nss_base_hosts dc=prod，dc=root，dc=domain，dc=com？sub
nss_base_netgroup dc=prod，dc=root，dc=domain，dc=com？sub

同樣地，為其他域建立其他檔：
ldap.dev.conf 和 ldap.sales.conf

ldap.dev.conf：
nss_base_passwd dc=dev，dc=root，dc=domain，dc=com？sub
nss_base_group dc=dev，dc=root，dc=domain，dc=com？sub
nss_base_hosts dc=dev，dc=root，dc=domain，dc=com？sub
nss_base_netgroup dc=dev，dc=root，dc=domain，dc=com？sub

ldap.sales.conf
nss_base_passwd dc=sales，dc=root，dc=domain，dc=com？sub
nss_base_group dc=sales，dc=root，dc=domain，dc=com？sub
nss_base_hosts dc=sales，dc=root，dc=domain，dc=com？sub
nss_base_netgroup dc=sales，dc=root，dc=domain，dc=com？sub

步驟 2 ：  上傳 ldap 組態檔案

$ server_file server_x -put ldap.prod.conf ldap.prod.conf
$ server_file server_x -put ldap.dev.conf ldap.dev.conf
$ server_file server_x -put ldap.sales.conf ldap.sales.conf

步驟 3：新增 LDAP 伺服器組態：

$ server_ldap server_2 -add -p -basedn dc=prod，dc=root，dc=domain，dc=com -servers 10.x.x.1 -binddn cn=admin，dc=prod，dc=root，dc=domain，dc=com -file ldap.prod.conf
$ server_ldap server_2 -add -p -basedn dc=dc=dev，dc=root，dc=domain，dc=com -servers 10.x.x.2 -binddn cn=admin，dc=dc=dev，dc=root，dc=domain，dc=com -file ldap.dev.conf
$ server_ldap server_2 -add -p -basedn dc=sales，dc=root，dc=domain，dc=com -servers 10.x.x.3 -binddn cn=admin，dc=sales，dc=root，dc=domain，dc=com -file ldap.sales.conf

第 4 步：設定每個 VDM 

的 nsdomains假設每個 VDM 都已針對特定的 VDM 名稱設定 prod，sales 和 dev

$ server_nsdomains vdm_prod -set -resolver LDAP='dc=prod，dc=root，dc=domain，dc=com'
$ server_nsdomains vdm_dev -set -resolver LDAP='dc=dev，dc=root，dc=domain，dc=com'
$ server_nsdomains vdm_sales -set -resolver LDAP='dc=sales，dc=root，dc=domain，dc=com'

步驟 5：驗證查找
$ server_ldap vdm_prod -查找 -用戶<使用者名
>$ server_ldap vdm_dev -查找 -使用者<使用者名>
$ server_ldap vdm_sales -查找 -使用者<使用者名>

$ server_ldap vdm_prod -查找 -組<名>
$ server_ldap vdm_dev -查找 -組<名>
$ server_ldap vdm_sales -查找 -組<名
>
$ server_ldap vdm_prod -查找 -netgroup <netgroupname>
$ server_ldap vdm_dev -lookup -netgroup netgroupname>
$ server_ldap vdm_sales -lookup -netgroup <netgroupname
>
更多資訊請參閱「man server_ldap」
中的檔案名稱選項 以進行組態。<

{-file <file_name>}
允許指定每個網域的 LDAP 組態檔案：

* 各種 LDAP 網域可能有不同的架構
（OpenLDAP、IdMU 等） 或不同的自訂
（非標準容器）。
* 所有 LDAP 網域都可以共用相同的 /.etc/ldap.conf 設定
檔案，如果所有網域都符合RFC2307，則甚至不能共用任何檔案。
* 組態檔案必須使用 server_file 放入 /.etc 中。
   為了防止與其他系統檔案發生衝突，
LDAP 組態必須以「ldap」
為前綴，並以「.conf」為尾碼，亦即「ldap<anything.conf>」。
* 檔案選項的預設值是「ldap.conf」。
* server_ldap -service -status 會列出所有已設定的網域，
以及其組態來源 （預設值、檔案或設定檔）。幾
 您可以使用相同的 LDAP
組態檔案來設定 LDAP 網域。

為 DM 根目錄上的每個 VDM 設定一個有意義的名稱來設定 ldap.conf，並提供適當的項目和搜尋範圍。
ldap.conf 的最基本項目為
：nss_base_passwd dc=ldap1，dc=local？sub
nss_base_group dc=ldap1，dc=local？sub
nss_base_hosts dc=ldap1，dc=local？sub
nss_base_netgroup dc=ldap1，dc=local？sub

如果使用 IDMU 或 SFU，則可能需要其他對應屬性。

對於 IDMU，以下是必需的
#物件 nss_map_objectclass posixAccount 使用者
nss_map_objectclass posixGroup Group
nss_map_objectclass ipHost Computer

# 屬性
nss_map_attribute使用者密碼 unix使用者密碼
nss_map_attribute homeDirectory unixHomeDirectory

for SFU ：
#

nss_map_objectclass posixAccount 使用者
nss_map_objectclass posixGroup Group
nss_map_objectclass ipHost Computer

# 的物件

uid msSFU30Name
nss_map_attribute nss_map_attribute userPassword msSFU30Password
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute gecos msSFU30Gecos
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute loginShell msSFU30LoginShell
#
nss_map_attribute memberUid msSFU30MemberUid
nss_map_attribute ipHostNumber msSFU30IpHostNumber