PDC und BDC und welches LDAP-Backend

Hallo:

ich werden mir einen BDC gönnen. Konfigurationsbeispiele gibt es genug. Der BDC wird sein eigenes LDAP-Backend haben. Die LDAP-Replzierung erfolgt mit SYNCREPL PDC > BDC.

PDC BDC
LDAP > LDAP

Eine Frage stelle ich mir noch:
Lt. Anleitung sollen an beiden DC BEIDE LDAP-Backend's eingetragen werden zwecks Ausfallsicherheit:
ldapsam:"ldap://master.mydomain.loc ldap://slave.mydomain.loc"

Ich darf aber (zB. bei einer Passwort-Änderung) nur den Schreibzugriff auf den PDC erlauben, am BDC darf nichts geändert werden.
Die Replizierung erfolgt nur in Richtung PDC > BDC
Wie konfiguriere ich das am BDC? Klar, die ACLS auf LDAP-Ebene sind gesetzt, es kann also nichts geändert werden, außer durch den Replicator-User.
Wenn sich der BDC jetzt als Anmeldeserver meldet, kann ja kein PAsswort geändert werden.

Vieken Dank!

Laut welcher Anleitung soll auch im BDC der LDAP Master eingetragen werden?

http://gertranssmb3.berlios.de/output/samba-bdc.html
Beispiel 6.2.

Zumindest interpretiere ich es so. Ist das falsch?

In der Konfiguration des PDC, der ja als Master fungiert, muss der PDC und der BDC (Slave) eingetragen werden. Das ermöglicht den Fallback. In der Konfiguration des BDC ist nur der BDC selbst einzutragen, weil er selbst der Slave ist.

Der BDC muss den PDC kennen, sonst hast du keine Ausfallsicherheit.

ok zur Ausfallsicherheit.

Ich habe festgestellt, dass sich der BDC vorrangig als Anmeldeserver meldet und die Clients sich an diesem authentifizieren. Wir haben 150 Clients. Dann wären keine Passwort-Änderungen möglich, weil der BDC in das SLAVE-LDAP-Backend nicht schreiben darf. Die Änderungen müssten im PDC vorgenommen werden.

Hmmm. Stehe ich jetzt auf der Leitung?