All the VPN's stay up (ahem) 24x7.  But I figure I'm going to have to have a server at each locale and perform some form of replication of ldap stores and other information stores.<div><br></div><div>I was playing with LDAP a while ago and I have a quick question.  Will users that authenticate against the LDAP tree be able to change their own information.  Last time I looked at it the tree was only modifiable by the administrator.  From what you said Chris, it leads me to think that Multi-Master allows for "site" administrators to manage users.</div>
<div><br></div><div>So again we get to the issue of end-users being able to modify their own information.  Seems like it should be possible, and if so, where are rights established in the config?</div><div><br></div><div>
Also, I'll only mention this because It seems like it is part of the subject.  I was looking as SLES which is SUSE Linux Enterprise Server.  The Novell rep was talking to me about the Novell Directory and Xen ( or is it Zen ... I know one is for system management and the other is for Virtual Machines ).  They also charge by seat, but open up all of their software </div>
<div>to support those seats.  So a Multi-Server Multi-Site Directory Service does not break the bank.  </div><div><br></div><div>-- Mike</div><div><br></div><div><div class="gmail_quote">On Mon, Feb 9, 2009 at 5:13 PM, Chris Knadle <span dir="ltr"><<a href="mailto:Chris.Knadle@coredump.us">Chris.Knadle@coredump.us</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="Ih2E3d">On Monday 09 February 2009, Justin Dearing wrote:<br>
> If the offices will be always connected via a point to point VPNs<br>
> then there should be no need for multi master.<br>
<br>
</div>I think you're missing the point -- it has nothing to do with VPN or<br>
not; it's "remote vs local" administration.  Without multi-master,<br>
local administrators at a remote subsidiary have to log in remotely<br>
to the master LDAP server to make or change LDAP data for their<br>
organization, whereas with multi-master they can log in to their own<br>
local LDAP server and then have the changes propagate.  The other<br>
issue that makes multi-master nice is the ability to easily replace<br>
any one of the boxes by adding a new LDAP server and then removing<br>
the one that needs replacing, whereas having only one Master that<br>
replicates to the subs is a lot riskier to try to replace, because<br>
it's required to run _everything_.<br>
<br>
Some directory servers also allow making user logins that only allow<br>
access to a sub-set of the directory tree.  This is convenient when<br>
giving administration rights to subsidiaries, because it allows them<br>
to make changes for their organization but not everything globally.<br>
i.e. "admin-sub" vs "root".  I last did this with Novell NDS (i.e.<br>
eDirectory), which also supports multi-master replication.<br>
<div class="Ih2E3d"><br>
> Are the offices going to be disconnected from each other on a<br>
> regular basis?<br>
<br>
</div>Still a good idea to have distributed LDAP servers, regardless.<br>
Because it's nice to have a local cache rather than having to do<br>
every single LDAP lookup over the VPN -- and it's also a real wakeup<br>
call of "bad design" when the VPN or ISP connection doesn't work and<br>
thus nobody can log in to do anything locally.<br>
<div><div></div><div class="Wj3C7c"><br>
   -- Chris<br>
<br>
--<br>
<br>
Chris Knadle<br>
<a href="mailto:Chris.Knadle@coredump.us">Chris.Knadle@coredump.us</a><br>
_______________________________________________<br>
Lilug mailing list<br>
<a href="mailto:Lilug@lilug.org">Lilug@lilug.org</a><br>
<a href="http://lists.lilug.org/listinfo.cgi/lilug-lilug.org" target="_blank">http://lists.lilug.org/listinfo.cgi/lilug-lilug.org</a><br>
</div></div></blockquote></div><br></div>