[samba-jp:20943] どのLDAPを引くか?
HOTTA Michihide
hotta @ net-newbie.com
2009年 12月 24日 (木) 14:27:31 JST
堀田@長崎市です。
職場(大学)における次期のサーバー更新に備え、知識の整理をするた
めに、以下のようなドキュメントを書いています。なるべく正確を期し
たいので、ダメ出しをお願いします。
Samba+OpenLDAPによるドメインログオン環境
http://net-newbie.com/misc/samba.html
http://net-newbie.com/misc/samba-tips.html
ついでに、LDAP の構成についてに質問させてください。フォローの内
容によっては、上記の記述に反映させていただきます。
本学は2キャンパスで構成されており、ユーザ数は合計で 3,500 くら
いです。キャンパス間の回線は 100Mbps とあまり太くはありません。
全学で (Open)LDAP Provider が一台だけあり、ここから両キャンパス
にある数十台の Consumer に対してレプリケーション(syncrepl)を行っ
ています。LDAPサブツリーの権限委譲は行っていません。
LDAP Consumer のいくつかは Samba サーバでもあり、その中で各キャン
パスごとに一台ずつを PDC にしています。なので、PDC = LDAP Provider
ではありません。Samba ドメインは両キャンパスで共通です。
Windows Server も何台かありはしますが、Active Directory 構成には
していません。また Windows Serverはドメインには参加していません。
この理由は、私が AD に詳しくないから、というのが一番大きいかもし
れません;-)
各 Samba サーバーでは
passdb backend = ldapsam:ldap://localhost:389
にしており、これで LDAP クエリーによるサーバー間のトラフィックを
抑えているつもりです。これはこれで動いてはいるのですが、こういっ
た、localhost の LDAP を引くという構成は推奨できますでしょうか?
目立った問題点としては、端末の更新時にドメインへの参加の操作が必
要になりますが、これが必ずと言っていいほど一発ではうまくいかなか
ったりします(2回やるとうまくいったりします)。PDC では
add machine script = /usr/sbin/smbldap-useradd -w '%u'
にしており、smbldap.conf では
slaveLDAP="127.0.0.1"
masterLDAP="ProviderのIP"
にしています。更新クエリーは masterLDAP に対して投げられているの
だと思うのですが、「LDAP Provider更新 → Consumerへ反映」のタイ
ムラグにより、変更がすぐには反映されないように見えるのかなあと想
像しています。
なお、ユーザやグループの追加/削除は、他システムとの連携などの兼
ね合いにより、Samba 経由ではやっていません。また各ユーザーのパス
ワード変更(やメールの転送設定)も、専用のWeb ページを介して行っ
ています。
上記以外にも何かお気づきの点がありましたら、アドバイスをいただけ
ればありがたいです。
--
HOTTA Michihide <hotta @ net-newbie.com>
samba-jp メーリングリストの案内