LINUX.ORG.RU

Вышел OpenLDAP 2.4.17

 , ,


0

0

Как обычно тихо и незаметно всем подписчикам списка рассылки openldap-announce свалилось на почту новое счастье - сообщение о выходе OpenLDAP версии 2.4.17!
Традиционно для "нечётной" версии разработчики в основном акцентировали своё внимание на исправлении ошибок и недоделок, найденных пользователями с момента релиза 2.4.16, но... есть-таки и новые приятные вещи:

  • Теперь у нас будет замечательная утилита проверки корректности текущей схемы (разумеется, работает и с динамическим древом cn=config)
  • У модуля, способного сделать из вашего LDAP-каталога подобие "Матрицы" (влияющего на все операции чтения/записи) - slapo-rwm, - теперь появилась опция rwm-drop-unrequested-attrs
  • А поддержка мега-API SASL, о существовании которого OpenLDAP нам, кажется, уже никогда не даст забыть, расширилась и углубилась благодаря опции auxprop отсеивающей ненужные SASL-плагины.

>>> ChangeLog

★★★★★

Проверено: maxcom ()
Ответ на: комментарий от vostrik

> а вас где научили так новости писать? вот ниочем же, а сколько букв всяких...

Судя по тону новости, автору чем-то очень насолил OpenLDAP либо его разработчики

dexpl ★★★★★
()

Да нормальная новость. Извращенцы.

coVra
()

нет, новость оформлен в стиле "так и шо это у нас там такое"...
Афтор, выбрось бутылку, протрезвей и всё тут перепиши :)

LifeWins
()

нормальная новость, видно что автор в теме.

alt0v14 ★★★
()

>сделать из вашего LDAP-каталога подобие "Матрицы"

Новости на ЛОРе - одна страшней другой. :)

S_wine
()

Нормальная новость. Не вижу каких-либо подвохов.

Werehuman ★★
()

Автор мог бы и нормально написать, аналогия между slapo-rwm и матрицей шедевральна. "расширилась и углубилась" мега-API о которой нам уже никогда не забыть - тоже.

Новость должна быть информативной.

zgen ★★★★★
()
Ответ на: комментарий от shanechko

>И всётаки /etc/passwd лучше.

Не-е-е-е...

LDAP в связке с Samba и PAM позволяет создать единую базу пользователей в гетерогенной сети для всех служб, что очень облегчает жизнь админа!

:-)

togusak
()

Так из новости все понятно. Сидел афтар и бухал с друзьями. И вдруг свалилось на почту новое счастье. Так сразу и запостил новость не переводя духа. :)

iron ★★★★★
()

В FreeBSD в портах еще нет

odip ★★
()
Ответ на: комментарий от shanechko

>И всётаки /etc/passwd лучше.

сравнил детородный орган с пальцем :)

alt0v14 ★★★
()
Ответ на: комментарий от shanechko

> И всётаки /etc/passwd лучше.

Ложь, троллизм, девственность.

Lumi ★★★★★
()
Ответ на: комментарий от togusak

> LDAP в связке с Samba и PAM позволяет создать единую базу пользователей в гетерогенной сети для всех служб, что очень облегчает жизнь админа!

А если приляпать ещё и NFS4+kerberos+autofs+ntp, то будет не только единая база пользователей, но и перемещаемые профили с удобной сетевой сшивкой и прозрачной авторизацией на всех рессурсах с разделением прав.

Lumi ★★★★★
()
Ответ на: комментарий от Lumi

>Обожаю ldap с тех пор, как его таки осилил. :) +10000000!

DRVTiny ★★★★★
() автор топика
Ответ на: комментарий от togusak

>>И всётаки /etc/passwd лучше.

> Не-е-е-е...

> LDAP в связке с Samba и PAM позволяет создать единую базу пользователей в гетерогенной сети для всех служб, что очень облегчает жизнь админа!

вот почему только из каропки этого не сделано?

VoDA ★★
()

Проверено: maxcom (*) 14.07.2009 22:12:57 Шаман перелогитесь.

daemontux
()
Ответ на: комментарий от Lumi

> LDAP в связке с Samba и PAM позволяет создать единую базу пользователей в гетерогенной сети для всех служб, что очень облегчает жизнь админа!

> А если приляпать ещё и NFS4+kerberos+autofs+ntp, то будет не только единая база пользователей, но и перемещаемые профили с удобной сетевой сшивкой и прозрачной авторизацией на всех рессурсах с разделением прав.

а поподробнее можно?

ABTOP
()
Ответ на: комментарий от VoDA

>> LDAP в связке с Samba и PAM позволяет создать единую базу пользователей в гетерогенной сети для всех служб, что очень облегчает жизнь админа!

>вот почему только из каропки этого не сделано?

Не сделано что? Ldap серверов обычно нужно меньше чем коробок. А если один localhost то ldap c треском сливает /etc/passwd. Кому надо тот включит.

PS: ldap без kerberos уныл.

shanechko
()
Ответ на: комментарий от ABTOP

> а поподробнее можно?

С чего именно начинать?

Lumi ★★★★★
()
Ответ на: комментарий от shanechko

>>> LDAP в связке с Samba и PAM позволяет создать единую базу пользователей в гетерогенной сети для всех служб, что очень облегчает жизнь админа!

>>вот почему только из каропки этого не сделано?

>Не сделано что? Ldap серверов обычно нужно меньше чем коробок. А если один localhost то ldap c треском сливает /etc/passwd. Кому надо тот включит.

>PS: ldap без kerberos уныл.

как получить из-каропки ldap + samba + PAM + email (SMTP&IMAP) + ... ?

даже одиночный localhost с ldap удобнее чем с /etc/passwd & samba passwords & http passwords & прочая лапша.

VoDA ★★
()
Ответ на: комментарий от VoDA

> как получить из-каропки ldap + samba + PAM + email (SMTP&IMAP) + ... ?

Неожиданное предложение... Возьмите Calculate Linux :) Ещё альты делали изкоробочную интеграцию в школьном сервере и ещё есть довесок к RHEL/CentOS, который умеет это делать, но забыл как называется, здесь в новостях про него писали.
А не хотите, ну тогда маны, доки, гугли, ручная работа.

Lumi ★★★★★
()
Ответ на: комментарий от Lumi

>> как получить из-каропки ldap + samba + PAM + email (SMTP&IMAP) + ... ?

> Неожиданное предложение... Возьмите Calculate Linux :) Ещё альты делали изкоробочную интеграцию в школьном сервере и ещё есть довесок к RHEL/CentOS, который умеет это делать, но забыл как называется, здесь в новостях про него писали. > А не хотите, ну тогда маны, доки, гугли, ручная работа.

довесок к RHEL - FreeIPA. буквально сегодня по их сайту ходил... но они еще в процессе разработкиб функционал требуемый для SOHO еще не реализован.

Calculate Linux ... ХЗ по мне gentoo в продакшен ставить решение очень спорное.

Для Ubuntu есть eBox, но оно во многих местах глючное. Сами убунтологи говорят о DIT, но саму фичу не делают - походу ресурсов им на это не хватает.

А так получается или Ubuntu + eBox + ручная правка конфигов (правда совсем мало). Но это решение не подходит как замена MS AD в нашей компании. А значит придется ждать Ubuntu&DIT или RHEL&FreeIPA.

PS нужно глянуть на Alt server.

VoDA ★★
()
Ответ на: комментарий от VoDA

>даже одиночный localhost с ldap удобнее чем с /etc/passwd & samba passwords & http passwords & прочая лапша.

Ужасная нелепость. Если хочется общего пароля в samba и на удалённый доступ - всё решаемо с помощью PAM. Иметь те же учётные записи в http/ftp не безопасно настолько, что лучше этого никогда не делать.

К тому же у тебя непонимание различий аутентификации и авторизации. ldap это авторизация, назначение пользователю домашней директории, групп, прав итп. Ты же сейчас говоришь про аутентификацию, а это скорее kerberos а не ldap. kerberos имеет смысл на localhost, а ldap нет ))

shanechko
()
Ответ на: комментарий от shanechko

>> даже одиночный localhost с ldap удобнее чем с /etc/passwd & samba passwords & http passwords & прочая лапша.

> Ужасная нелепость. Если хочется общего пароля в samba и на удалённый доступ - всё решаемо с помощью PAM. Иметь те же учётные записи в http/ftp не безопасно настолько, что лучше этого никогда не делать.

мне от сервера нужна общая база пользователей для apache & tomcat & SVN & FTP & samba & ssh & e-mail.

возможно что ssh будет иметь других пользователей, потому общая база создается только для не-локальной работы. Потому мне не понятно а что не безопасного иметь одинаковые login / pass для sambe & FTP?

VoDA ★★
()
Ответ на: комментарий от VoDA

>мне от сервера нужна общая база пользователей для apache & tomcat & SVN & FTP & samba & ssh & e-mail.

Для этого не нужен ldap. Он ничем не лучше любого локального
хранилища. Даже хуже, тем что светит открытые пароли.
ssh может использовать pam
samba может использовать pam
email исользует sasl который может использовать pam
svn использует аутентификацию http или ssh (а кто делает иначе - дурак)
ftp использует pam

В итоге, делаешь акаунты, хоть в текстовом файле хоть в какой либо субд.
apache модулями авторизует, и настраиваешь на это же хранилище pam.
Всё ))

А если сделаешь kerberos то не надо будет вводить один и тот же
пароль при каждом доступе к ресурсу.

Теперь вопрос - зачем нужен ldap?

shanechko
()
Ответ на: комментарий от shanechko

> Теперь вопрос - зачем нужен ldap?

как я понимаю PAM хранят только информацию о пароле. А настройки пользователя? а доп.параметры для работы того или иного сервиса где хранить?

даже если закрутить все на PAM все равно придется доп.информацию раскидывать по конфигам. иначе КАК mail система узнает что юзер pupkin получает почту для root@my.company.com и megaAdmin@my.company.com?

Дальше как сделать несколько серверов с одинаковой базой пользователей? репликация LDAP спасает.

VoDA ★★
()
Ответ на: комментарий от VoDA

>КАК mail система узнает что юзер pupkin получает почту для root@my.company.com и megaAdmin@my.company.com?

Из настроек. ldap ничем не лучше файла или субд или любого другого хранилища.

>Дальше как сделать несколько серверов с одинаковой базой пользователей?

Надо сделать базу пользователей на нескольких серверах одинаковой. Как это делается - зависит от базы. То есть про localhost сомнений в ненужности ldap не осталось? Ну хоть это хорошо ))

>репликация LDAP спасает.

Ввернул умное слово не понимая его смысла? Иди книжки читай что такое репликация ldap и зачем она нужна ))

shanechko
()
Ответ на: комментарий от dexpl

>> ldap ... светит открытые пароли
> 8-0 В каком месте?


Если тебе нужна возможность чтобы пользователи могли менять себе пароли сами, то иначе как засветить в /etc/{pam_ldap,libnss_ldap}.secret в открытом виде пароль rootbinddn не выйдет.
А так, в общем-то, можно обойтись и анонимным доступом.

Lumi ★★★★★
()
Ответ на: комментарий от Lumi

> Если тебе нужна возможность чтобы пользователи могли менять себе пароли сами, то иначе как засветить в /etc/{pam_ldap,libnss_ldap}.secret в открытом виде пароль rootbinddn не выйдет.

Можно же сделать отдельный bind dn, которому дать права только на изменение пользовательских паролей, нет?

dexpl ★★★★★
()
Ответ на: комментарий от dexpl

> Можно же сделать отдельный bind dn, которому дать права только на изменение пользовательских паролей, нет?

Да, но только менять эти пользовательские пароли сможет только root.

Lumi ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.