Я управляю сетью для небольшой компании (mycompany.com) с 10 разработчиками программного обеспечения и лабораторией (thelab.org) с 5 учеными. Но всего человек 12, так как трое из них работают и в лаборатории, и на предприятии. В каком-то смысле лаборатория является дочерним предприятием компании.
Хотя существует два разных доменных имени (с адресами электронной почты и JID), лаборатория и компания используют общий сервер.
В какой-то момент мы решили переместить пользователей в LDAP, чтобы запустить подчиненную реплику LDAP в офисе и получить централизованную аутентификацию. Это не проблема, если была одна компания, но с двумя я застрял.
На некоторых ПК я хотел бы иметь их все, но некоторым придется фильтровать пользователей (иногда мы используем Linux и немного FreeBSD, поэтому наш выбор - pam_ldapd)
И я также предпочитаю хранить информацию о sudoers в LDAP.
И мы запускаем Exim4 MTA + Dovecot LDA, и было бы здорово, если бы они могли автоматически определять доменную часть, если задано одно имя пользователя (опять же, использование LDAP не является проблемой для настройки одной компании). Обратите внимание, что у тех людей, которые работают как в компании, так и в лаборатории, оба адреса электронной почты фактически соответствуют одному почтовому серверу :)
Любые рецепты и идеи приветствуются.
Хорошо, вот как бы я это сделал:
Одна база LDAP, всегда одна база LDAP. Даже если набор инструментов, который вы используете, поддерживает несколько, где-то по ходу дела вам нужно будет использовать то, чего нет. Отказ от ответственности: я даже не пробовал.
Я сейчас всегда использую на базе постоянного тока. Его гораздо легче запомнить, и наличие структуры DNS, которая соответствует структуре LDAP, кажется мне более интуитивно понятной. При этом у меня были проблемы с получением сертификатов в прошлом.
Две группы с некоторыми общими членами определенно чувствуют правильный путь вперед.
Что касается sudoers, то в Linux я всегда просто настраиваю группы в файле sudoers, а затем добавляю группы и управляю ими с помощью LDAP. Я знаю, что вы можете создать sudo для использования LDAP изначально, но это не происходит ни на одной из платформ, которые я использую, поэтому я не делаю этого.
Я играл только с exim и dovecot, но я бы настроил обе записи MX так, чтобы они указывали на один и тот же сервер, и попросил бы пользователей настроить свои адреса отправителя и адреса ответа по своему усмотрению.