кто-нибудь решал (удачно) вопрос хостинга нескольких доменов
в одном лдап каталоге ? сейчас вот задумался,
пока вижу только 3 варианта и все пока не очень,
1 либо один глобальный домен (очень не подходит)
2 интердомейн траст (?)
3 какойто изврат типа синхронизации\конвертации сидов обьектов в деревьях разных доменовможет кто-то что-то когда-то придумал насчет этого, я не знаю ... очень надеюсь:)
>кто-нибудь решал (удачно) вопрос хостинга нескольких доменов
>в одном лдап каталоге ? сейчас вот задумался,
>пока вижу только 3 варианта и все пока не очень,
>1 либо один глобальный домен (очень не подходит)
>2 интердомейн траст (?)
>3 какойто изврат типа синхронизации\конвертации сидов обьектов в деревьях разных доменов
>
>может кто-то что-то когда-то придумал насчет этого, я не знаю ... очень
>надеюсь:)Вы говорите о настоящем LDAP или о поделке от Microsoft под названием Active Directory. Потому что в первом случае нет никаких ограничений на количество доменных деревьев, хранящихся на одном сервере, а во втором случае как раз наоборот эти самые ограничения есть.
>[оверквотинг удален]
>>2 интердомейн траст (?)
>>3 какойто изврат типа синхронизации\конвертации сидов обьектов в деревьях разных доменов
>>
>>может кто-то что-то когда-то придумал насчет этого, я не знаю ... очень
>>надеюсь:)
>
>Вы говорите о настоящем LDAP или о поделке от Microsoft под названием
>Active Directory. Потому что в первом случае нет никаких ограничений на
>количество доменных деревьев, хранящихся на одном сервере, а во втором случае
>как раз наоборот эти самые ограничения есть.у меня openldap 2.x
попробую обьяснить в чем проблема
>[оверквотинг удален]
>>>может кто-то что-то когда-то придумал насчет этого, я не знаю ... очень
>>>надеюсь:)
>>
>>Вы говорите о настоящем LDAP или о поделке от Microsoft под названием
>>Active Directory. Потому что в первом случае нет никаких ограничений на
>>количество доменных деревьев, хранящихся на одном сервере, а во втором случае
>>как раз наоборот эти самые ограничения есть.
>
>у меня openldap 2.x
>попробую обьяснить в чем проблемаесть домен А и домен Б.
находяться в физически разных подсетях.
обьекты домена А в контейнере ou=domainA,dc=xxx
обьекты домена Б в контейнере ou=domainB,dc=xxx
ведь в один контейнер их нельзя ложить , правильно ?затем,
PDC домена А смотрит в ou=domainA,dc=xxx
для авторизации запросов на ресурсы домена А.
PDC домена Б смотрит в ou=domainB,dc=xxx
для авторизации запросов на ресурсы домена Б.как мне сделать чтобы пользователи домена Б, находясь
физически в сети домена А, получали доступ к ресурсам доменов А и Б.
ведь PDC сети домена А смотрит в ou=domainA,dc=xxx,
а там SID'ов обьектов домена Б нету. они в ou=domainB,dc=xxxможет коряво обьяснил , если что уточню.
>есть домен А и домен Б.
>находяться в физически разных подсетях.А сети одна из другой доступны? И что прописано в DNS для каждого из доменов (записи типа SRV) ?
>>есть домен А и домен Б.
>>находяться в физически разных подсетях.
>
>А сети одна из другой доступны? И что прописано в DNS для
>каждого из доменов (записи типа SRV) ?сети доступны, SRV не используется пока.
>>>есть домен А и домен Б.
>>>находяться в физически разных подсетях.
>>
>>А сети одна из другой доступны? И что прописано в DNS для
>>каждого из доменов (записи типа SRV) ?
>
>сети доступны, SRV не используется пока.А если SRV не используется, то как же Ваш клиент узнаёт где ему искать сервер LDAP для соответсвующего домена, а?
И пожалуйста, не пользуйтесь вы терминологий от Microsoft. Нет в LDAP таких понятий как PDC и иже с ними. Есть мастер сервер. И это не тоже самое, что PDC.
>[оверквотинг удален]
>>>каждого из доменов (записи типа SRV) ?
>>
>>сети доступны, SRV не используется пока.
>
>А если SRV не используется, то как же Ваш клиент узнаёт где
>ему искать сервер LDAP для соответсвующего домена, а?
>
>И пожалуйста, не пользуйтесь вы терминологий от Microsoft. Нет в LDAP таких
>понятий как PDC и иже с ними. Есть мастер сервер. И
>это не тоже самое, что PDC.терминология думаю не имеет большого значения в данном случае.
тем более PDC - primary domain controller, всё помоему понятно и по делу.
а "мастер серверов" много всяких разных.> если SRV не используется, то как же Ваш клиент узнаёт где
> ему искать сервер LDAP для соответсвующего домена, а?одна сеть, один домен, один PDC в ней, клиенты бродкастят я думаю чтоб его найти.
а вот как быть когда надо будет для остальных доменов из этой сети разрешение делать, это и естьпроблема, которая собственно и была описана выше.
>[оверквотинг удален]
>а "мастер серверов" много всяких разных.
>
>> если SRV не используется, то как же Ваш клиент узнаёт где
>> ему искать сервер LDAP для соответсвующего домена, а?
>
>одна сеть, один домен, один PDC в ней, клиенты бродкастят я думаю
>чтоб его найти.
>а вот как быть когда надо будет для остальных доменов из этой
>сети разрешение делать, это и естьпроблема, которая собственно и была описана
>выше.К сожалению, Вы не правы. В данном конкретном случае терминология ещё очень как важна. Ибо Вы пытаетесь мыслить в терминах от Microsoft, ошибочно полагая, что технологии и modus operandi OpenLDAP и Microsoft эквивалентны. А это далеко не так. Ибо ещё раз вынужден повторить, что ПОДЕЛКИ от Microsoft РАБОТАЮТ НЕ ПО СТАНДАРТАМ. И в большом числе случаев терминология от Microsoft мешает правильному пониманию проблемы.
Теперь к Вашему вопросу. Вы думаете или УВЕРЕНЫ, что клиенты ищут сервер LDAP рассылая широковещятельные запросы и засоряя ими сеть? Тогда почитайте внимательнее документацию (RFC 2872, 4510 - 4533, 4876, 5020).
>[оверквотинг удален]
>PDC домена Б смотрит в ou=domainB,dc=xxx
>для авторизации запросов на ресурсы домена Б.
>
>как мне сделать чтобы пользователи домена Б, находясь
>физически в сети домена А, получали доступ к ресурсам доменов А и
>Б.
>ведь PDC сети домена А смотрит в ou=domainA,dc=xxx,
>а там SID'ов обьектов домена Б нету. они в ou=domainB,dc=xxx
>
>может коряво обьяснил , если что уточню.здесь ldap совершенно не причём, нужно настраивать доверенные отношения между доменами