ldap - это база данных. Немного специфичная.

Сам по себе ldap безполезен. Сделать на нём можно много всякого, но это всё нужно делать.

Есть всякие готовые реализации, типа freeipa, можно самому скостылять, например на openldap и различных клиентах поверх.

Самое распространённое, для чего используют ldap:

• Централизованная аутентификация.
• Всевозможные контакты/адресная книга/телефонный справочник и т.п. Весь софт для предприятий умеет обращаться за этим в ldap.
• SSO с помощью кербероса.
• Централизованные настройки пользователей (шелл, профиль, bashrc, публичные ключи и т.п.).
• Централизованные настройки для серверов (не все, в основном касающиеся пользователей, для остального ansible).
• Централизованная раздача прав для пользователей/сервисов/серверов (учётки раскидываются по группам, по принадлежности к ним принимается решения, кому что можно).
• Что угодно, что ты сможешь сделать.

В общем-то всё тоже самое можно закостылять на обычной БД, но вот эти вещи с ldap'ом делать удобнее.

Вот например подключил я сервер к ldap, мне нужно вручную вбивать его данные в дерево каталогов? Какие преимущества я получу от такого подключения?

Никаких. Покуда ты не знаешь, чего ты хочешь добиться ничего не делай. Само по себе хорошо не станет.

понимание приходит, когда подключаете 100 пользователей к 100 сервисам.

турист-шпиле-смотрист?

ldap - 4 букаффки. Прикинь если 4 букаффки могут аутентифицировать 1ККК пользаков? А это еще и не всё! Они вообще фсё! Ой фсё! Ну фсмысле всё могут. Вообще всё!

Ваш стиль речи вызвал у меня недоумение

Какие преимущества я получу

в сравнении с чем?

В сравнении с тем чтобы не добавлять сервер в ldap

хм-мм... если ты вопще никуда не добавишь сервер - это щитается преимуществом?

Если у тебя 3 сервиса и 5 пользователей - LDAP наверное перебор.

Но когда количество этого всего начинает расти, LDAP становится чертовски привлекательным.

Не стоит забывать, что Active Directory из мира оффтопика - это просто очень своеобразный LDAP+Kerberos на стероидах(местами с невероятно отмороженной схемой).

Не стоит забывать, что Active Directory из мира оффтопика - это просто очень своеобразный LDAP+Kerberos на стероидах

Неправильно. AD это не LDAP, это служба каталога, доступ к которой можно получить в том числе и по LDAP.

AD это не LDAP

И то и то - это служба каталогов(если раскрыть аббревиатуры это становится вполне себе очевидно). Другое дело, что LDAP - это открытый стандарт, а AD - нет.

LDAP отвечает за авторизацию, а не аутентификацию, блэт.

/0 отсутствие понимания detected. аутентификация - это определение того что ты есть

авторизация - это определение можно ли тебе это... второе без первого - нонсенс.

Наркоманшоле? Это две разные вещи, которые могут и не пересекаться в принципе, неужто админы локалхоста повылезли?

Я с вами спорить не намерен, читаем и просвещаемся: Протокол AAA

Здраво - узнай мои полномочия не узнав кто я вообще?... default это тоже свое рода результат аутентификации...

Верю. Но это не ответ на вопрос «Какая польза от ldap кроме аутентификации?»

Вот например Ivan_qrt ответил, что можно центрально админить сервера. Это интересно. Но где конркетика? Я может быть плохо искал, но для меня всё равно остаётся загадкой, что и как я могу админить через сабж.

В сети я натыкаюсь в основном только на упоминание сабжа в контексте авторизации и базы пользователей, а про другие возможности очень вскользь упоминается.

Из того что использую я сам - sudo умеет свои настройки в LDAP хранить

Надо читать мануалы конкретно по тем службам что развернуты у тебя. Могут ли они в LDAP и если могут - то что именно.

Например, есть реализации DHCP и DNS-серверов, которые используют LDAP.

еще samba есть.

другие возможности

главным образом «другие возможности» лежат где-то в области задач, не подразумевающих табличного представления данных. иерархические структуры - это про лдап.

хранилище лдап - это такая себе «файловая система», с корнем, (под)каталогами, атрибутами объектов, списками доступа и даже с точками монтирования удаленных «файловых систем».

ну вот и подумай, какой тебе от всего этого профит. помимо обустройства авторизации пользователй и хранения настроек служб.

почему ты нас просишь придумать тебе профит за тебя?

https://bash.im/quote/439274

Для тех , кто не любит ходить по ссылкам :

Хабр, статья «Как взломать Telegram и WhatsApp: спецслужбы не нужны» xxx: Для всех, кто ещё по каким-либо причинам не включил двухфакторную авторизацию: [ссылка] yyy: Аутентификацию. zzz: Ох уж эта секта свидетей Драматического Отличия Авторизации От Аутентификации И Их Обоих От Идентификации.

Быть невежественным сейчас модно

Но где конркетика? Я может быть плохо искал

Ldap - это всего-лишь протокол. Его реализаций много. Все они используются по-разному. Конкретики здесь может быть на пару томов.

Как вариант, есть freeipa - служба по управлению учётными записями и серверами. Там всё собрано во едино и интегрировано друг с другом. И частично преднастроено. Гуглишь её, смотришь, что она умеет, думаешь, нужно ли оно тебе. Судя по уровню вопросов, что-то, чего нет в ипе ты сам не сделаешь. Так что считай, что больше ldap ничего не умеет, по-крайней мере пока.

LDAP (сервер) можно рассматриват как базу данных. Как и в мире БД, приложения требуют определенной схемы, чтоб можно было использовать. Фактически польза от LDAP исходит от приложений, которые могут его использовать.

LDAP отвечает за авторизацию, а не аутентификацию, блэт.

И то, и другое, и даже Accounting, блэт.

https://spring.io/guides/gs/authenticating-ldap/

Ох уж эта секта свидетей Драматического Отличия Авторизации От Аутентификации И Их Обоих От Идентификации.

коротко и грубо:

* аутентификация — клиент доказывает, что он - это он и соответствует некоторой учётной записи в системе (например: логин/пароль, электронный ключ, etc)

* авторизация — на основе данных для учётной записи в системе определяется возможность выполнить то или иное действие (например: указана принадлежность учётной записи к группе, которая имеет привелегию читать данные, но нет привелегий изменять/удалять, etc)

* идентификация — определение соответствия, что учётная запись в одной системе учёта соответствует учётной записи в другой системе учёта (например: определить соответствие записей в логах сервера некоторой учётной записи домена, или использовать для назначения основанных на этом соответствии авторизационных привелегий, использование SingleSignOn /SSO/, использование доменных учётных записей для доступа к ресурсам, использование google-аккаунта для авторизации на сайте, etc)

упрощённо:

LDAP - одна из старейших баз данных иерархических регулярных (повторяющихся) структур, характеризуется медленной вставкой/обновлением записей и быстрой отдачей данных, а также наличием общепризнанной спецификации протокола и огромного количества коннекторов для связи с любыми системами, которым может потребоваться хранилище структурированных иерархически-организованных данных, часто используется для хранения подробных данных организационной структуры преприятия, структуры ресурсов и их связи, для использования в системах разделения и учёта доступа.

кстати, да: https://ru.wikipedia.org/wiki/LDAP — формально протокол

«LDAP (англ. Lightweight Directory Access Protocol — «облегчённый протокол доступа к каталогам») — протокол прикладного уровня для доступа к службе каталогов X.500, разработанный IETF как облегчённый вариант разработанного ITU-T протокола DAP. LDAP — относительно простой протокол, использующий TCP/IP и позволяющий производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей.»

но сущность настолько древняя, что давно воспринимается как концепт одной из реализаций баз данных )))