[samba-jp:20943] どのLDAPを引くか？

[HOTTA Michihide]

堀田＠長崎市です。

職場（大学）における次期のサーバー更新に備え、知識の整理をするた
めに、以下のようなドキュメントを書いています。なるべく正確を期し
たいので、ダメ出しをお願いします。

Samba+OpenLDAPによるドメインログオン環境
http://net-newbie.com/misc/samba.html
http://net-newbie.com/misc/samba-tips.html

ついでに、LDAP の構成についてに質問させてください。フォローの内
容によっては、上記の記述に反映させていただきます。

本学は２キャンパスで構成されており、ユーザ数は合計で 3,500 くら
いです。キャンパス間の回線は 100Mbps とあまり太くはありません。
全学で (Open)LDAP Provider が一台だけあり、ここから両キャンパス
にある数十台の Consumer に対してレプリケーション(syncrepl)を行っ
ています。LDAPサブツリーの権限委譲は行っていません。

LDAP Consumer のいくつかは Samba サーバでもあり、その中で各キャン
パスごとに一台ずつを PDC にしています。なので、PDC = LDAP Provider
ではありません。Samba ドメインは両キャンパスで共通です。

Windows Server も何台かありはしますが、Active Directory 構成には
していません。また Windows Serverはドメインには参加していません。
この理由は、私が AD に詳しくないから、というのが一番大きいかもし
れません;-)

各 Samba サーバーでは 
passdb backend = ldapsam:ldap://localhost:389
にしており、これで LDAP クエリーによるサーバー間のトラフィックを
抑えているつもりです。これはこれで動いてはいるのですが、こういっ
た、localhost の LDAP を引くという構成は推奨できますでしょうか？

目立った問題点としては、端末の更新時にドメインへの参加の操作が必
要になりますが、これが必ずと言っていいほど一発ではうまくいかなか
ったりします（２回やるとうまくいったりします）。PDC では
add machine script = /usr/sbin/smbldap-useradd -w '%u'
にしており、smbldap.conf では
slaveLDAP="127.0.0.1"
masterLDAP="ProviderのIP"
にしています。更新クエリーは masterLDAP に対して投げられているの
だと思うのですが、「LDAP Provider更新 → Consumerへ反映」のタイ
ムラグにより、変更がすぐには反映されないように見えるのかなあと想
像しています。

なお、ユーザやグループの追加／削除は、他システムとの連携などの兼
ね合いにより、Samba 経由ではやっていません。また各ユーザーのパス
ワード変更（やメールの転送設定）も、専用のWeb ページを介して行っ
ています。

上記以外にも何かお気づきの点がありましたら、アドバイスをいただけ
ればありがたいです。

-- 
HOTTA Michihide <hotta ＠ net-newbie.com>