[Sysadmins] Организация пользователей в самбе

[Gennady Kovalev]

Добрый день.

Есть несколько офисов, в них сидят пользователи:

1. Офис А, домен А, тут системные администраторы сидят.

2. Офис Б, у них домен Б.

3. Офис В с филиалами:
3.1. Сам офис В, домен В.
3.2. Филиал офиса В - Г. Домен Г.


Вопрос как лучше организовать учетные записи пользователей / машин в samba. 
Пункты 1, 2 и 3 - это независимые организации, однако учетными записями 
необходимо управлять от системных администраторов, желательно в одном 
интерфейсе.

Пока есть LDAP сервер, в нем создан namespace "o=A,l=Moscow,c=RU", там же 
учетные записи для админов и их компов.

В офисе Б подняли LDAP сервер с репликацией. Но сделано пока так: там 
namespace "ou=Б,o=A,l=Moscow,c=RU". И в каждом офисе продублированы(!) записи 
админов, что несколько снижает смысл использования LDAP.

Офис В - это тоже отдельная контора с филиалами. В каждом филиале поднят 
сейчас свой домен филиала: "ou=Г,ou=В,o=A,l=Moscow,c=RU". И в каждом филиале 
опять продублированы учетные записи админов. 

Вопросы:
1. Как организовать домены с авторизацией правильно? Логично 
сделать "o=A,c=Moscow,l=RU", "o=Б,c=Moscow,c=RU", "o=В,с=Moscow,c=RU" и 
домены по одному на каждую контору. То есть домены А, Б и В. 

2. Реально ли внедрить админов все-таки с одной учетной записью? Это делать 
путем расшаривания логина из офиса А через LDAP (как?) или организовывать 
какие-нибудь trusted domains?

2. Рельно ли в OpenLDAP сделать каждую контору в своей БД в файловой системе, 
чтобы можно было несколькими БД управлять одновременно? То есть если у меня 
админ из БД А, будет ли он виден в самбе, у которой namespace при коннекте 
совсем другой.


Спасибо
 

-- 
Геннадий Ковалев, 
БИГУР, http://www.bigur.ru/