LDAPサーバーでの複数ドメインのセットアップ
CENTOS 7サーバーでLDAPサーバーを最初からセットアップしようとしています。ちゃんとインストールできましたが、設定の段階で少しこだわっています。
事は私がこれを設定している会社が次のような3つのドメインを持っていることです:
- example.com
- example.in
- example-new.com
私はこれに従います チュートリアル 。
単一のLDAPサーバーに3つの異なるdcを設定するにはどうすればよいですか
その答えは、LDAPサーバーの使用方法によって異なります。
- 3つの完全に独立したLDAPツリーが必要な場合は、
cn=config構成でolcDatabaseオブジェクトタイプを使用して複数のデータベースを構成します。この方法で行う場合、LDAPツリーごとに個別のLDAP接続をセットアップする必要があり、他のドメイン内のオブジェクトをまったく検索できないことに注意してください。 - 論理的な分離だけが必要な場合は、ドメインごとに個別のメールアカウントがある場合は、ツリーの適切なブランチに接合点を追加するだけです。
ou=example.com,cn=users,dc=example,dc=comやou=example.in,cn=users,dc=example,dc=comのようなもので、各cnはサブドメインのユーザーを保持します。必要に応じて、そのようなジャンクションポイントが複数あります。他のオプションはcn=groups,dc=example,dc=comまたはcn=sites,dc=example,dc=comです。このようにして、ou=example.com,cn=users,dc=example,dc=comでユーザーを検索してそのドメインのユーザーのみを見つけるか、cn=users,dc=example,dc=comでよりグローバルに検索してすべてのユーザーを見つけることができます。 - 3番目のアプローチは、複数のサブツリーを持つことです。
ou=example.com,dc=example,dc=comとou=example.in,dc=example,dc=comには、cn=users,ou=example.com,dc=example,dc=comのような実際のオブジェクトのサブコンテナがあります。このアプローチはより良い分離を提供しますが、ドメインのいずれかでオブジェクトを検索したい場合はツリー全体を検索する必要があるため、非常に非効率的であることがよくあります。
イラスト:
バリエーション1:
dc=example,dc=com cn=users cn=groups ------------------ Complete separation dc=example,dc=in cn=users cn=groupsバリアント2
dc=example,dc=com cn=users <---- Junction point ou=example.com uid=alice uid=bob ou=example.in uid=claire cn=groups <---- Junction point ou=example.com cn=accounting ou=example.in cn=hrバリアント3
dc=example,dc=com ou=example.com cn=users cn=groups ou=example.in cn=users cn=groups