VNX: Як налаштувати LDAP-мультидомени з різними OU для кожного домену LDAP

Існують ситуації, коли клієнти можуть обрати різні домени LDAP або піддомени LDAP для роздільних здатностей
uid/gid/netgroup.Існує структура доменів такої :

Кореневий домен : root.domain.com
Кілька піддоменів або різні домени разом

Піддомени:
prod.root.domain.com LDAP сервер : 10.x.x.1
dev.root.domain.com LDAP сервер : 10.x.x.2
sales.root.domain.com LDAP сервер : 10.x.x.3

Конфігурація здійснюється на рівні Datamover, а домен NS — на рівні VDM.

У наведеному вище випадку конфігурація виконується таким чином

: Крок 1: Створіть доменно-специфічні файли ldap<domain.conf> у корені VDM 

. У наведеному вище прикладі у нас є три піддомени: prod, dev, sales

, ми створюємо три LDAP.<domain.conf>files

vi ldap.prod.conf
Додайте такі записи:
nss_base_passwd dc=prod,dc=root,dc=domain,dc=com?sub
nss_base_group dc=prod,dc=root,dc=domain,dc=com?sub
nss_base_hosts dc=prod,dc=root,dc=domain,dc=com?sub
nss_base_netgroup dc=prod,dc=root,dc=domain,dc=com?

sub Аналогічно створіть додаткові файли для інших доменів:
ldap.dev.conf та ldap.sales.conf

ldap.dev.conf:
nss_base_passwd dc=dev,dc=root,dc=domain,dc=com?sub
nss_base_group dc=dev,dc=root,dc=domain,dc=com?sub
nss_base_hosts dc=dev,dc=root,dc=domain,dc=com?sub
nss_base_netgroup dc=dev,dc=root,dc=domain,dc=com?sub

ldap.sales.conf
nss_base_passwd dc=sales,dc=root, dc=domain,dc=com?sub
nss_base_group dc=sales,dc=root,dc=domain,dc=com?sub
nss_base_hosts dc=sales,dc=root,dc=domain,dc=com?sub
nss_base_netgroup dc=sales,dc=root,dc=domain,dc=com?

sub Крок 2 : Завантажити файли

конфігурації ldap$ server_file server_x -put ldap.prod.conf ldap.prod.conf
$ server_file server_x -put ldap.dev.conf ldap.dev.conf
$ server_file server_x -put ldap.sales.conf ldap.sales.conf

Крок 3: Додайте конфігурацію серверів LDAP:

$ server_ldap server_2 -add -p -basedn dc=prod,dc=root,dc=domain,dc=com -servers 10.x.x.1 -binddn cn=admin,dc=prod,dc=root,dc=domain,dc=com -file ldap.prod.conf
$ server_ldap server_2 -add -p -basedn dc=dc=dev,dc=root,dc=domain,dc=com -servers 10.x.x.2 -binddn cn=admin,dc=dc=dev,dc=root,dc=domain,dc=com -file ldap.dev.conf
$ server_ldap server_2 -add -p -basedn dc=sales,dc=root,dc=domain,dc=com -servers 10.x.x.3 -binddn cn=admin,dc=sales,dc=root,dc=domain,dc=com -file ldap.sales.conf

Крок 4: Налаштуйте nsdomains для кожного VDM

Припускаючи, що кожен VDM налаштований для particcular VDM-імен prod,sales і dev

$ server_nsdomains vdm_prod -set -resolver LDAP='dc=prod,dc=root,dc=domain,dc=com'
$ server_nsdomains vdm_dev -set -resolver LDAP='dc=dev,dc=root,dc=domain,dc=com'
$ server_nsdomains vdm_sales -set -resolver LDAP='dc=sales,dc=root,dc=domain, dc=com'Крок

5:  Перевірте пошуки
$ server_ldap vdm_prod -lookup -user <user>
$ server_ldap vdm_dev -lookup -user <
>user$ server_ldap vdm_sales -lookup -<user user>

$ server_ldap vdm_prod -lookup -<group groupname>
$ server_ldap vdm_dev -lookup -group <groupname
>$ server_ldap vdm_sales -lookup -<group groupname
>
$ server_ldap vdm_prod -lookup -netgroup <groupname>
$ server_ldap vdm_dev -lookup -netgroup <netgroupname>
$ server_ldap vdm_sales -lookup -netgroupgroup <netgroupname Більше інформації про опцію імені файлу у "man server_ldap"
для конфігурації>.



{-file <file_name>}
Дозволяє вказати конфігураційний файл LDAP для кожного домену:

 * Різні домени LDAP можуть мати різні схеми
(OpenLDAP, IdMU тощо) або різні налаштування
(нестандартні контейнери).
 * Усі домени LDAP можуть мати однаковий файл налаштування
/.etc/ldap.conf або навіть не мати файл, якщо всі домени відповідають RFC2307.
 * Файли конфігурації потрібно вставити у /.etc за допомогою server_file.
   Щоб уникнути зіткнень з іншими системними файлами,
конфігурація LDAP має префікс "ldap
" і суфікс ".conf", тобто "ldap<anything.conf>".
 * Значення за замовчуванням опції -file — «ldap.conf».
 * server_ldap -service -status містить
усі налаштовані домени та їх джерело конфігурації (за замовчуванням, файл або профіль). Ряд
   LDAP-домени можна налаштовувати за допомогою того ж файлу конфігурації LDAP
.

налаштуйте ldap.conf із змістовною назвою для кожного vdm на корені DM з відповідними записами та областью пошуку .
Мінімальні записи для ldap.conf: :nss_base_passwd dc=ldap1,dc=local?sub
nss_base_group dc=ldap1,dc=local?sub
nss_base_hosts dc=ldap1,dc=local?sub
nss_base_netgroup dc=ldap1,dc=local?sub

Якщо використовується IDMU або SFU, можуть знадобитися

додаткові атрибути відображення.
Для IDMU потрібні наступні
# Objectsnss_map_objectclass posixAccount User
nss_map_objectclass posixGroup Group
nss_map_objectclass ipHost Computer

# Атрибути
nss_map_attribute userPassword unixUserPassword
nss_map_attribute homeDirectory unixHomeDirectory

for SFU :
#

Об'єкти
nss_map_objectclass posixОбліковий запис User
nss_map_objectclass posixGroup
nss_map_objectclass ipHost Computer

# Атрибути
nss_map_attribute uid msSFU30Name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute gecos msSFU30Gecos
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute loginShell msSFU30LoginShell
#
nss_map_attribute memberUid msSFU30MemberUid
nss_map_attribute ipHostNumber msSFU30IpHostNumber