LINUX.ORG.RU
ФорумTalks

[специалистам по LDAP] напишите статью :)


0

0

вот сижу почитываю статейки про LDAP и понимаю что не хватает чего-то в них главного.

Очень много статей о том как такую-то фигатень настроить через LDAP, сякую-то хрень настроить в связке с LDAP, а преимуществ от этого никаких.

В одной из статей вычитал вообще типа что использование SQL (в связке с exim) - ламерство, а LDAP - правильный подход. при этом SQL'ный вариант в соседнем хауту прост и ясен, а предложенный автором содержит многостраничные ldif/scheme'ы со странными и совершенно непонятными примерами в стиле "например это может выглядеть так: an 1.2.3.4.3224.223.445.553.11 en cdef.es dd" а откуда что взялось тишина. Сунулся я в официальную документацию там связки тоже нет.

Вообще по моему документация LDAP страдает тем что очень много есть о том "как настроить" и немного есть об "история LDAP" но совсем нет "как работает".

Кто бы взялся написать такую статью и осветить в ней:

* Общие принципы работы? (желательно с примером: пользователь хочет авторизоваться, туда-то идет запрос, получаются такие-то данные, как пользователь сможет их поменять, что изменить итп)

* Откуда берутся всякие d: o: dc: и цифры в 1.2.3.45.66.66.433.2?

* как написать свою схему и _зачем_ это делать?

* как управлять доступом (с одной стороны чтобы каждый пользователь мог, а с другой стороны чтобы все пользователи не могли) на примере скажем авторизации в LDAP

* почему авторизация в LDAP секюрна?

* если настроить эту авторизацию то что делать если хост доступен а LDAP сервер временно нет?

* можно ли хранить скажем мозиловские букмарки в LDAP? а zshrc? а если в последнем алиас с логином-паролем как быть? может ли пользователь устанавливать доступ к данным которые он хранит? итп

ну и так далее. пусть это будет рубрикатор (то смотри там это сям) но пусть появится связка не в смысле "как настроить" или "как скомпилировать" (слава богу сейчас в большинстве дистрибутивов вообще ничего не надо компилировать) а в смысле как работает, что за что цепляется к чем дергается :)

★★★

если статью написать на wiki (скажем LOR) то коллективным разумом ее можно было бы довести до неплохого уровня :)

xargs ★★★
() автор топика
Ответ на: комментарий от xargs

Статьей тут не обойдешься. Одна только книжка LDAP System Administration - больше 300 страниц.

Sun-ch
()

> как написать свою схему и _зачем_ это делать?

Как? Ручками. На основе имеющихся в штатном дистрибутиве. Зачем? Если тебя не устраивает существующая. Но обучно не "пишется своя схема", а существующая дополняется своими классами.

> как управлять доступом

Целиком и полностью определяется сервером

> почему авторизация в LDAP секюрна?

Она не "секьюрна", она "едина" - то есть может быть совместно использована кучей хостов и множеством сервисов

> то что делать если хост доступен а LDAP сервер временно нет?

man nscd, rtfm "отказоустойчивая конфигурация", "кластер" и "резервирование".

no-dashi ★★★★★
()
Ответ на: комментарий от no-dashi

>Она не "секьюрна", она "едина"

если она не секюрна то разве можно ей пользоваться для авторизации?

> "отказоустойчивая конфигурация", "кластер" и "резервирование".

коннекта временно нет. сервер не отказывал.

xargs ★★★
() автор топика

Ну и ваще - гуглить на тему "барабанов ldap и все-все-все"

anonymous
()
Ответ на: комментарий от xargs

> коннекта временно нет. сервер не отказывал.

Это одно и то же. Называется "недоступность сервера". Если есть ситуация, когда вероятность отказа канала достаточно высока, чтобы принимать ее во внимание, организуется резервный "ведомый" сервер.

no-dashi ★★★★★
()
Ответ на: комментарий от anonymous

>Для авторизации можно, для аутентификации нет ...

если пользователи хранятся в LDAP то получается оно используется и для того и для другого

xargs ★★★
() автор топика
Ответ на: комментарий от no-dashi

>Это одно и то же. Называется "недоступность сервера". Если есть ситуация, когда вероятность отказа канала достаточно высока, чтобы принимать ее во внимание, организуется резервный "ведомый" сервер.

вот и было бы классно чтобы такой вопрос хоть и в общих фразах был бы в такой статье тоже рассмотрен :)

xargs ★★★
() автор топика
Ответ на: комментарий от xargs

> если пользователи хранятся в LDAP то получается оно используется и для того и для другого

НЕТ. Копать nsswitch.conf и /etc/pam.d/*.conf

no-dashi ★★★★★
()
Ответ на: комментарий от xargs

Нет. Можно разделить - пароли отдельно, учетные записи отдельно ...

Можно вместе - Барабанов этот вопрос рассматривает. Но не удобно ...

anonymous
()

Мне кажется нет необходимости, если имеется ввиду pam/nsslib-ldap + autofs-ldap, будет достаточно к ним документацию почитать, там все написано :))) К тому же, практически в всех дистрибутивах настройка связки ldap+pam/nss+autofs автоматизирована, только остается учетные файлы пользователей добавить через ldif-файлы штатными средствами. К тому же, кажется есть GUI-приложение для этого.

rjaan ★★
()
Ответ на: комментарий от rjaan

>К тому же, практически в всех дистрибутивах настройка связки ldap+pam/nss+autofs автоматизирована

вот с настройкой проблем нет, миллион хауту. есть проблемы с пониманием как фунциклит это все :)

xargs ★★★
() автор топика

>>можно ли хранить скажем мозиловские букмарки в LDAP?

Низзя. Это в netscape такое проходило (floating profiles или чё-то в этом духе), а в мозилле - увы ... LDAP - это не вполне main-stream технология ... В webdav ещё пока можно.

А gconf всё обещал мигрировать с зумля на ldap, но это так и осталось пустыми обещаниями ...

anonymous
()

полностью поддерживаю, уже месяц перебираю разную документацию и ничего не понимаю

хоть открывай исподники и читай

давайте норльную документацию и по русски сделаем

fMad ★★★
()

это вы ещё стандарты на него (DAP) не читали.. особенно ISO/IEC/ITU-T - вот где страшная книжка на ночь. почитайте - и глупые вопросы про мозиловские закладки пропадут как-то сами собой

MKuznetsov ★★★★★
()
Ответ на: комментарий от MKuznetsov

>и глупые вопросы про мозиловские закладки пропадут как-то сами собой

а почему они глупые? нетшкаф же умел там держать закладки?

xargs ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.