Ldap
在 LDAP 伺服器中設置多個域
我正在嘗試在 CENTOS 7 伺服器上從頭開始設置 LDAP 伺服器。我能夠正確安裝它,但是在配置它時我有點卡在初始部分。
問題是我為其設置的公司有 3 個域,例如:
- example.com
- example.in
- example-new.com
我正在關注本教程。
如何為單個 LDAP 伺服器設置 3 個不同的dc
答案取決於您希望如何使用 LDAP 伺服器。
- 如果您想擁有三個完整的獨立 LDAP 樹,您將在
cn=config配置中使用對olcDatabase像類型配置多個數據庫。請注意,如果您這樣做,則需要為每個 LDAP 樹設置單獨的 LDAP 連接,並且您根本無法搜尋其他域中的對象。- 如果您只想要一個邏輯分離,例如為每個域擁有單獨的郵件帳戶,您只需在樹中的適當分支處添加一個連接點。類似的東西
ou=example.com,cn=users,dc=example,dc=com,ou=example.in,cn=users,dc=example,dc=com每個cn人都會在哪里為子域保留使用者。根據您的需要,您將有多個這樣的連接點,其他選項可能是cn=groups,dc=example,dc=com或cn=sites,dc=example,dc=com。這樣,您既可以在其中搜尋使用者ou=example.com,cn=users,dc=example,dc=com並僅查找該域的使用者,也可以在全域範圍內搜尋cn=users,dc=example,dc=com並查找所有使用者。- 第三種方法是擁有多個子樹,例如
ou=example.com,dc=example,dc=com,ou=example.in,dc=example,dc=com然後為實際對象(如cn=users,ou=example.com,dc=example,dc=com. 請注意,雖然這種方法提供了更好的分離,但它通常效率很低,因為如果您想在任何域中查找對象,您現在必須搜尋整個樹。插圖:
- 變體 1:
dc=example,dc=com cn=users cn=groups ------------------ Complete separation dc=example,dc=in cn=users cn=groups
- 變體 2
dc=example,dc=com cn=users <---- Junction point ou=example.com uid=alice uid=bob ou=example.in uid=claire cn=groups <---- Junction point ou=example.com cn=accounting ou=example.in cn=hr
- 變體 3
dc=example,dc=com ou=example.com cn=users cn=groups ou=example.in cn=users cn=groups