Подскажите как систематично привести все в порядок!

  • Автор темы NeoSimvolist
  • Дата начала
N

NeoSimvolist

Гость
#1
Ситуация:
Один домен
Около 40 серверов
Примерно 15 адресных книг (у некоторых серверов общие книги) и ... да я знаю что для одного домена одна адресная книга, но так уже было до меня

На каждом сервере есть реплики всех 15 адресных книг, объедены DA

Если откровенно все в принципе работает, но вот какой ценой..
Чтобы заставить что то реплиц-я, нужно в ACL базы указать имена всех серверов,
а их 40 и на каждом сервере по 20 БД(модульная система, но не об этом речь).
Я полагаю это из за кучи Адресных книг. Получается что группы из одной адресной книги не
действительны для серверов юзающих другие адресные книги.
 
K

Klido

Гость
#2
если есть одинаковые группы серверов, например, LocalDomainServers и они одного состава, то, указав такую группу в ACL получим желаемый результат. При обращении к реплике на удаленном сервере обращающийся сервер будет проверяться по наличию в группе и (при условии, что у него есть доступ к серверу) всё будет отрабатывать...
вроде так...
 

RAJ

Well-Known Member
17.01.2007
440
0
#3
Получается что группы из одной адресной книги не
действительны для серверов юзающих другие адресные книги.
В каждой DA вы можете указать только одну доп.адресную книгу чьи группы будут использоваться
 
K

Klido

Гость
#4
ну а реально надо сделать либо разыменование доменов - по кол-ву книг, либо объединение оных.. это не так что бы должго и сложно, зато будет правильно...
а сертификатов сколько у вас?
 
N

NeoSimvolist

Гость
#5
если есть одинаковые группы серверов, например, LocalDomainServers и они одного состава, то, указав такую группу в ACL получим желаемый результат. При обращении к реплике на удаленном сервере обращающийся сервер будет проверяться по наличию в группе и (при условии, что у него есть доступ к серверу) всё будет отрабатывать...
вроде так...
На самом деле я на это надеялся, но по какойто причине так не работает, приходится всетаки вставлять имена каждого сервера в ACL чтобы было все гуд! НЕ знаете почему?

а сертификатов сколько у вас?
Столько же сколько и книг!

Добавлено:
ну а реально надо сделать либо разыменование доменов - по кол-ву книг, либо объединение оных.. это не так что бы должго и сложно, зато будет правильно...
а сертификатов сколько у вас?
На счет объединения поподробнее моно? ) Кажеться это все чревато хождением на кадое клиентское место и т.п. Разве нет? Если да то это исключено.
 

ToxaRat

Чёрный маг
Lotus team
06.11.2007
3 226
25
#6
NeoSimvolist
вот задумался, может вам поможет мигрировать всех юзверей в одну АК?
 
K

Klido

Гость
#7
мигрировать всех юзверей в одну АК
оно и есть объединение/слияние :rolleyes:
у них много сертификатов, для одной АК надо провести серию мероприятий...
как по мне - развести в 15 доменов проще и быстрее... книги есть, сертификаты есть, коннекшены тоже есть... заменить имея домена в документах сервера, документах персон в соответствующих АК и поправить коннекшены для междоменной маршрутизации... полдня работы... ну потом DA перенастроить, понятно...
 

Akupaka

А че я?.. О.о
04.10.2007
3 360
2
#8
может перевести все сервера на одну адреску?
если разный сертификатор, то тут есть условия.
если не используется шифрование и подпись, то можно пересоздать одноименных пользователей под нужным сертификатором.
если используется только шифрование, то можно расшифровать базу, пересоздать пользователя под нужным сертификатором, а потом зашифровать под новым ключем.
если используется подпись, тот тут, вероятно, просто так не провернешь, придется думать как переподписывать.
все вышесказанное не подкреплено опытом! лишь догадки! ответственности не несу :rolleyes:


Добавлено: Klido
а в чем смысл настраивать разные домены и т.п.? чем это проще для управления?
 

puks

Well-Known Member
Lotus team
03.02.2007
1 971
16
#9
Мне кажется, что в документации все четко объяснено:

===========
When a database access control list (ACL) includes a group located in a server's primary IBM® Lotus® Domino™ Directory, the server automatically can look up the members of that group when authorizing a user's database access. You can store groups used for database authorization in one directory in addition to the primary Domino Directory. This one additional directory can be a secondary Domino Directory, an Extended Directory Catalog, or a remote LDAP directory. Note that if the primary Domino Directory and the one additional directory both contain a group used for database authorization with the same name, a server uses the group in the primary Domino Directory.
===========

Подробно смотрим "Directory assistance and group lookups for database authorization" в административном хэлпе.
 
K

Klido

Гость
#10
Мне кажется, что в документации все четко объяснено
собственно об этом я и написал во 2-м посте, всё работает

Добавлено: Akupaka
в чем смысл настраивать разные домены и т.п.? чем это проще для управления?
я не говорил, что проще для управления :rolleyes: проще разрулить текущую ситуацию в грамотно, а потом уже тратить время на то, что ты и описал - ресертификация, миграция, дешифрация и пр.
так тратим ну 1 день и получаем хоть и неправильную по сути, но правильную по смыслу систему, а если сразу думать глобально - план мероприятий, согласование отсутствия доступов на время мероприятий и т.д.

хотя если и так всё работает, а ресурсов нет - можно и не заморачиваться :) только настроить разыменование групп...