Есть мысль предложить перевод крупной организации с Novell на Samba
Что имеем
- около 2000 пользователей Novell
- резветвленное дерево NDS c 5 уровневой иерархией контейнеров - и оно нужно
- системы сетевой печати Novell
- офигенная куча групп, каталогов, документов, схем роздачи прав (по группам, пользователям, эквивалентам по правам) на нескольких файловых серверах
Что хотелось бы
- Linux + RAID + Ext3 data=journal,acls,xattr
- каталог LDAP для авторизации пользователей и групп UNIX и Samba, желательно реализующий многоуровневую иерархию контейнеров - один на все вводимые сервера Samba
- Samba для предоставления доступа к файловым и принт серверам
Дополнительные вводные
главная задача - увеличение надежности и упрощение администрирования, поэтому реализация видится так (печать пока не рассматриваем):
- Samba на каждом из создаваемых файл серверов предоставляет доступ к расшаренному ресурсу (ресурсам, но их относительно немного)
-внутри ресурса создаются каталоги (т.н. точки входа, могут быть на разных уровнях вложения), которые получают SGID бит, и группу владельца, являющуюся группой доступа на запись
- каждый каталог точки входа с помощью расширенных атрибутов ФС (доступно с ядра 2.6) получает дополнительную группу с правами - на чтение
т.о. на каждом ресурсе находятся специально выделенные каталоги, подкаталоги которых наследуют групповые права родителя, плюс группы разрешения чтения и записи каждой такой "подструктуры каталогов"
такое решение позволяет разместить на одной "шаре" сотни различных каталогов с определенными привелегиями доступа для различных пользователей, и при этом сохранить простоту "идеи", что важно на большом количестве пользователей
В чем видятся засады:
- при предлагаемой схеме в группу UNIX может потребоваться внести 2000 пользователей
- один пользователь может оказаться членом 300 групп
- было бы неплохо реализовать включение группы в группу для удобства администрирования, но это опционально
Собственно вопросы
---------------------
- а может ли Linux c ядром 2.6 ???:
-- корректно работать с пользователем - членом 300 групп(ядра 2.4 могли до 32 групп) ?
-- корректно содержать в группах 1000-2000 пользователей - и хранить их в /etc/group ?
- а может ли связка linux+openLDAP
-- корректно работать с пользователем - членом 300 групп(ядра 2.4 могли до 32 групп) - и хранить их в LDAP каталоге ?
-- корректно содержать в группах 1000-2000 пользователей - и хранить их в LDAP каталоге ?
- можно ли как-то включать группу в группу, вроде как стандартно - нельзя ?
- можно ли обеспечить работу Samba с пользователями в многоуровневом каталоге ?
- может еще есть засады ???
приглашаю к обсуждению темы