Репликация нескольких поддеревьев

то каждый сервер реплицирует ветки остальных - этого хотелось бы избежать. Ваши советы? )

Скорректировать права на master'е таким образом, чтобы каждый сервер имел доступ только к своей части DN

Немного не по теме, а какой use case хранения названия серверов в ldap'е, можешь в двух словах сказать.

не названия серверов. получается так, что у меня apache хранит в лдапе конфиги своих виртхостов. а авторизацию себе и другим админам хочется сделать в одной общей ветке. сейчас внутри ветки каждого сервака есть свое поддерево auth, и это немножко криво.

А как у вас в многопользовательской среде, когда несколько админов, реализован логин по ssh, тоже в ldap учётки или /etc/passwd.

все через лдап. короче, есть ряд очень однотипных серверов, админы и юзеры у них одни и те же. сейчас для того, чтобы завести нового юзера - нужно заводить его в ветке каждого сервака. я хочу вносить модификации только в одну ветку.
но при этом ветку с конфигами каждый syncrepl-клиент должен вытягивать только свою.

Ничего у тебя не получится.

Ничего у тебя не получится.

Скорректировать права на master'е таким образом, чтобы каждый сервер имел доступ только к своей части DN

С чего бы?

Не, не получится.

я понял, мне нужно правильно написать ldap filter. но ихнюю логику я вкурить не могу.
получается надо действительно ставить searchbase=«dc=root,dc=servers», и в клиенте syncrepl задавать на каждом сервере фильтр. суть фильтра - реплицировать dc=root,dc=servers,ou=auth с подветвями и dc=root,dc=servers,dc=serverN с подветвями, N для каждого сервера свой.
поможешь создать такой фильтр плз?

Не, не получится.

Только эти слова выучил? Иных нет?

я понял, мне нужно правильно написать ldap filter. но ихнюю логику я вкурить не могу.

Я понял, что вы ничего не поняли.

каждый ldap slave дня начала репликации идет на ldap master под определенным (своим) пользователем.

Всех делов - это запретить на master'е пользователю со slave'а чтение той части каталога, которая ему не предназначена.

Что, ля, за «клиент syncrepl» на котором ВНЕЗАПНО надо фильтры делать? Что за бред про ldap filter? Что вообще это все за херь написана?

У вас проблема запретить пользователю (DN'у)
server1 читать что-либо из DN'а «dc=server2»?
или
server2 из DN'а «dc=server1»?

или 2м пользователям (DN'ам) дать право на чтение
dc=root,dc=servers,ou=auth?

Ну дык так и скажите, я ткну вас в документацию
http://www.openldap.org/doc/admin24/access-control.html

Иных нет?

Есть. Я еще знаю слова: «Неправильно!».

Есть. Я еще знаю слова: «Неправильно!».

Мне было бы интересно вас послушать, если бы вы свою позицию аргументировали более развернуто. А так - нет.

каждый ldap slave дня начала репликации идет на ldap master под определенным (своим) пользователем

поскольку эти сервера однотипные, то им всем создан один юзер для этой репликации. в этом основная проблема.

Что за бред про ldap filter?

ну я считаю что он позволит из дерева dc=root,dc=servers отфильтровать нужные куски. и он вроде как должен позволять, попытаюсь вкурить ман.

поскольку эти сервера однотипные, то им всем создан один юзер для этой репликации. в этом основная проблема.

Сделайте 2.