12.11.07, Gennady Kovalev написал(а): > Добрый день. > > Есть несколько офисов, в них сидят пользователи: > > 1. Офис А, домен А, тут системные администраторы сидят. > > 2. Офис Б, у них домен Б. > > 3. Офис В с филиалами: > 3.1. Сам офис В, домен В. > 3.2. Филиал офиса В - Г. Домен Г. > > > Вопрос как лучше организовать учетные записи пользователей / машин в samba. > Пункты 1, 2 и 3 - это независимые организации, однако учетными записями > необходимо управлять от системных администраторов, желательно в одном > интерфейсе. > > Пока есть LDAP сервер, в нем создан namespace "o=A,l=Moscow,c=RU", там же > учетные записи для админов и их компов. > > В офисе Б подняли LDAP сервер с репликацией. Но сделано пока так: там > namespace "ou=Б,o=A,l=Moscow,c=RU". И в каждом офисе продублированы(!) записи > админов, что несколько снижает смысл использования LDAP. > > Офис В - это тоже отдельная контора с филиалами. В каждом филиале поднят > сейчас свой домен филиала: "ou=Г,ou=В,o=A,l=Moscow,c=RU". И в каждом филиале > опять продублированы учетные записи админов. > > Вопросы: > 1. Как организовать домены с авторизацией правильно? Логично > сделать "o=A,c=Moscow,l=RU", "o=Б,c=Moscow,c=RU", "o=В,с=Moscow,c=RU" и > домены по одному на каждую контору. То есть домены А, Б и В. > > 2. Реально ли внедрить админов все-таки с одной учетной записью? Это делать > путем расшаривания логина из офиса А через LDAP (как?) или организовывать > какие-нибудь trusted domains? > > 2. Рельно ли в OpenLDAP сделать каждую контору в своей БД в файловой системе, > чтобы можно было несколькими БД управлять одновременно? То есть если у меня > админ из БД А, будет ли он виден в самбе, у которой namespace при коннекте > совсем другой.
Я бы предложил сделать не ou=Б,o=A,l=Moscow,c=RU (как сейчас) и не o=Б,c=Moscow,c=RU (как вы предлагаете), а o=Б,o=A,c=Moscow,c=RU - типа дочерний домен (только у меня в памяти dc=B,dc=A,dc=moscow,dc=ru - но это наверно не суть важно). Настраиваете доверительные отношения доменов windows Дальше в каждом домене есть группа administrators, и пользователям-админам домена А ничего не мешает входить в группу администраторам домена Б, а наоборот можно не делать - ограничить админов домена Б только своим доменом. Получится ли включить целиком группу administrators домена А в группу Б - не знаю (в windows возможно, здесь возможно есть какие-то ограничения). Далее я думаю в каждом домене стоит держать ldap-базу только своего домена а в ldap домена А настроить referrals на другие домены домены. А управлять машинами/пользователями можно и родными для windows средствами (я недавно знакомому админу настроил - он через mmc-консоль сервисами управляет - apache стартует/останавливает :) ) PS: еще совет - используйте smbldap-tools. При некоторой модификации можно управлять не только samba/unix-пользователями, но и доп.параметрами типа почты и др. -- Alexey Shabalin _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
