[Sysadmins] Организация пользователей в самбе

Пн Ноя 12 21:57:33 MSK 2007

12.11.07, Gennady Kovalev написал(а):
> Добрый день.
>
> Есть несколько офисов, в них сидят пользователи:
>
> 1. Офис А, домен А, тут системные администраторы сидят.
>
> 2. Офис Б, у них домен Б.
>
> 3. Офис В с филиалами:
> 3.1. Сам офис В, домен В.
> 3.2. Филиал офиса В - Г. Домен Г.
>
>
> Вопрос как лучше организовать учетные записи пользователей / машин в samba.
> Пункты 1, 2 и 3 - это независимые организации, однако учетными записями
> необходимо управлять от системных администраторов, желательно в одном
> интерфейсе.
>
> Пока есть LDAP сервер, в нем создан namespace "o=A,l=Moscow,c=RU", там же
> учетные записи для админов и их компов.
>
> В офисе Б подняли LDAP сервер с репликацией. Но сделано пока так: там
> namespace "ou=Б,o=A,l=Moscow,c=RU". И в каждом офисе продублированы(!) записи
> админов, что несколько снижает смысл использования LDAP.
>
> Офис В - это тоже отдельная контора с филиалами. В каждом филиале поднят
> сейчас свой домен филиала: "ou=Г,ou=В,o=A,l=Moscow,c=RU". И в каждом филиале
> опять продублированы учетные записи админов.
>
> Вопросы:
> 1. Как организовать домены с авторизацией правильно? Логично
> сделать "o=A,c=Moscow,l=RU", "o=Б,c=Moscow,c=RU", "o=В,с=Moscow,c=RU" и
> домены по одному на каждую контору. То есть домены А, Б и В.
>
> 2. Реально ли внедрить админов все-таки с одной учетной записью? Это делать
> путем расшаривания логина из офиса А через LDAP (как?) или организовывать
> какие-нибудь trusted domains?
>
> 2. Рельно ли в OpenLDAP сделать каждую контору в своей БД в файловой системе,
> чтобы можно было несколькими БД управлять одновременно? То есть если у меня
> админ из БД А, будет ли он виден в самбе, у которой namespace при коннекте
> совсем другой.

Я бы предложил сделать не ou=Б,o=A,l=Moscow,c=RU (как сейчас) и не
o=Б,c=Moscow,c=RU (как вы предлагаете), а o=Б,o=A,c=Moscow,c=RU - типа
дочерний домен (только у меня в памяти dc=B,dc=A,dc=moscow,dc=ru - но
это наверно не суть важно).

Настраиваете доверительные отношения доменов windows
Дальше в каждом домене есть группа administrators, и
пользователям-админам домена А ничего не мешает входить в группу
администраторам домена Б, а наоборот можно не делать - ограничить
админов домена Б только своим доменом. Получится ли включить целиком
группу administrators домена А в группу Б - не знаю (в windows
возможно, здесь возможно есть какие-то ограничения).

Далее я думаю в каждом домене стоит держать ldap-базу только своего домена
а в ldap домена А настроить referrals на другие домены домены.

А управлять машинами/пользователями можно и родными для windows
средствами (я недавно знакомому админу настроил - он через mmc-консоль
сервисами управляет - apache стартует/останавливает :) )

PS: еще совет - используйте smbldap-tools. При некоторой модификации
можно управлять не только samba/unix-пользователями, но и
доп.параметрами типа почты и др.

-- 
Alexey Shabalin