LINUX.ORG.RU

Проект Samba4 перешел в стадию бета-тестирования

 , ,


1

2

После 6 лет разработки проект, в успешное завершение которого почти никто не верил, переходит в стадию бета-тестирования.

Samba4 — это полноценный контроллер домена Active Directory, способный работать в unix-like системах.

Первая, так называемая технологическая (Technology Preview) сборка Samba4 была выпущена еще в январе 2006 года, за это время над проектом Samba4 совместно работали специалисты из таких компаний как SerNet, Redhat, Novell, Microsoft и многих других.

В рамках проекта Samba4 разработчикам стало доступно множество кода, тестовых утилит и спецификаций протоколов Microsoft. В списке рассылки разработчиков Samba за 2 последних года появилось множество отчетов о миграции с Samba3 и успешной работе предыдущих версий Samba4 для сотен клиентских систем и тысяч пользователей.

Несмотря на то, что в этой бета-версии нет некоторой части необходимого функционала, этот функционал доступен, поскольку совместно с Samba4 сервером может работать сервер Samba3, который входит в состав этого выпуска.

Одна из целей данного бета-выпуска — проверить качество совместной работы части функционала Samba4 с частью функционала Samba3.

Новые, по сравнению с Samba3, возможности:

  • Контроллер Active Directory, включая возможности групповых политик (Group Policy) и работу в качестве дополнительного AD контроллера в уже существующем домене Windows.
  • Kerberos-сервер.
  • LDAP-сервер.

Важные, но пока отсутствующие в Samba4 возможности. Для их работы используется сервер Samba3:

  • Поддержка просмотра и разрешения имен NetBIOS.
  • Работа в качестве клиента домена (AD domain member).
  • Функциональность сервера печати (Print Server).

>>> Технические подробности (англ.)

★★★★★

Проверено: tazhate ()
Последнее исправление: Silent (всего исправлений: 2)
Ответ на: комментарий от zgen

у меня практически все завязано на openldap.

Если я правильно понял идею, новый каталог может использовать OL как источник аутентификации (они переизобрели sasl заново)... А так да - нужно всё перетаскивать в формат богомерзкого AD.

DRVTiny ★★★★★
()
Ответ на: комментарий от DRVTiny

Если я правильно понял идею, новый каталог может использовать OL как источник аутентификации (они переизобрели sasl заново).

Вроде как нет. Всё своё.

zgen ★★★★★
() автор топика
Ответ на: комментарий от AVL2

Схемы совершенно другие, не? Я, кстати писал как-то конвертер из account'а AD в типичный account для Samba3 - ничего в общем сложного, при желании могут дать этот кусок перлового кода. Ну и соответственно обратно тоже несложно. Но в итоге небось придётся всё-таки пользоваться утилитами заведения пользователей/компов из состава 4-й самбы, просто беря значения атрибутов из «старого» каталога на OL. Вообще это маразм, потому что AD - это не Unix-way. Типичный OpenLDAP-каталог использует так штук по 30-ть разных совершеннго приложений, беря всю информацию о пользователе из ОДНОГО объекта типа uid=User,cn=MainUserGroup,ou=Staff,o=RogaKopyta,l=Moscow,c=RU. И это единственно верный подход, потому что LDAP-это каталог объектов, а не просто свалка какой-то невнятной информации обо всём. В каталоге должны быть: Сервисы, Пользователи, Хосты, Сети. Но никак не «аккаунт vpupkin для домена», «аккаунт pupkin-va для почты» . Если используется такой подход, значит - LDAP используется не по назначению просто.

DRVTiny ★★★★★
()
Ответ на: комментарий от DRVTiny

Схемы совершенно другие, не?

Схема вообще не является частью ldap сервера. Какие загрузишь, такие и будут. В АД куча своих дополнительных атрибутов. Точно также, как и в любых других системах каждый сервис при необходимости добавляет свою схему, где определены дополнительные атрибуты, которые ему необходимо хранить.

Пример - bind,dhcp - у обоих свои схемы с дополнительными типами объектов и атрибутами.

Я, кстати писал как-то конвертер из account'а AD в типичный account для Samba3 - ничего в общем сложного, при желании могут дать этот кусок перлового кода.

если учесть, что в АД есть куча атрибутов, которые через ldap не видны или только на чтение, толку с этого немного.

Сбекапить и восстановить AD через ldap нельзя.

Типичный OpenLDAP-каталог использует так штук по 30-ть разных совершеннго приложений, беря всю информацию о пользователе из ОДНОГО объекта типа uid=User,cn=MainUserGroup,ou=Staff,o=RogaKopyta,l=Moscow,c=RU.

у вас каша в голове. Объект в ldap может (и обычно имеет) несколько типов. В соответствии с этими типами у него есть ряд атрибутов.

Как использовать эти объекты, зависит только от задачи.

Если нужен виртуальный ftp, то почему не завести отдельную ветку ou=ftp и не положить туда учетки пользователей или виртуальных директорий?

Бывает и другая задача, когда есть ряд пользователей, которых надо пускать туда и сюда. Тогда можно держать одно дерево пользователей.

АД здесь ортогонально. Там как раз общее дерево пользователей сделано.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Как использовать эти объекты, зависит только от задачи.

Безусловно. И тем не менее можно использовать правильно, а можно использовать, как попало. Вы же не удивляетесь, что надо продумывать проектировать БД в sql и что можно напроектировать такого, что жизнь оказывается не мила?

Так и в ldap.

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

Безусловно. И тем не менее можно использовать правильно, а можно использовать, как попало.

Ну в таком случае в AD сделано все архиправильно. Ибо в единственном экземпляре, а не как попало.

Вы же не удивляетесь, что надо продумывать проектировать БД в sql

Все идет от задачи, а не от абстрактного правильно и неправильно. В ряде задач вообще от sql отказываются в пользу nosql.

AVL2 ★★★★★
()
Ответ на: комментарий от DRVTiny

Ага, у меня сейчас коллега в конторе насаждает ровно такую схему («аккаунт vpupkin для домена», «аккаунт pupkin-va для почты» ) чуть не дословно.

spqr ★★★
()
Ответ на: комментарий от spqr

Ага, у меня сейчас коллега в конторе насаждает ровно такую схему («аккаунт vpupkin для домена», «аккаунт pupkin-va для почты» )

Передай ему от меня лично хорошего яду с ядрёным напалмом. Задолбали уже такие «практики», честное слово. Мне кажется, у таких практиков одна цель профессиональной деятельности - пораньше свалить до хаты, поэтому нужно как можно скорее и как можно больше делать то, что говорит начальство, а думалку выключать, чтоб она палки в колёса не вставляла по пути в родные пенаты. Брр...

DRVTiny ★★★★★
()
Ответ на: комментарий от DRVTiny

Передай ему от меня лично хорошего яду с ядрёным напалмом. Задолбали уже такие «практики», честное слово. Мне кажется, у таких практиков одна цель

А что если у конторы три домена, big-corp.net big-corp.ru и big-corp.com

Для пупкина нужно, чтобы поста была во всех трех доменах, а для иванова, только в @big-corp.ru ну и так далее?

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

ля пупкина нужно, чтобы поста была во всех трех доменах, а для иванова, только в @big-corp.ru ну и так далее?

У пупкина 1 uid и 3 alias'а, а у иванова 1 uid и 1 alias.

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

У пупкина 1 uid и 3 alias'а, а у иванова 1 uid и 1 alias.

Не факт. они хотят разные ящики для входящих в imap.

И да, пупкин сотрудник big-company (с доступом к другим ресурсам), а Иванов приглашеный специалист, который просто пишет с ящика в @big-company.ru.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Не факт. они хотят разные ящики для входящих в imap.

сортировка на сервере положит входящие в разные папки

И да, пупкин сотрудник big-company (с доступом к другим ресурсам), а Иванов приглашеный специалист

Набор objectclass'ов и полей определит, к каким сервисам можно пупкину, а каким иванову.

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

сортировка на сервере положит входящие в разные папки

угу, еще и sieve на входящие нагрузим, будем их вручную прописывать и сопровождать. И исходящие на клиентах бегать настривать.

Набор objectclass'ов и полей определит, к каким сервисам можно пупкину, а каким иванову.

Угушеньки, устроим свалку из юзеров и не-юзеров, придумаем себе работу на сто лет вперед, чтобы только какой-нибудь ананимус на лоре порадовался и подрочил на стройную структуру жирных гирлянд объектов в едином дереве.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

будем их вручную прописывать и сопровождать.

Их сопровождать не надо - дефолтовый скрипт пишется 1 раз и применяется ко всем пользователям.

И исходящие на клиентах бегать настривать.

А 10 ящиков per user настраивать кто будет?

Угушеньки, устроим свалку из юзеров и не-юзеров

Свалка из юзеров и не-юзеров, это по 10 аккаунтов на пользователя размазанных по всему дереву. Если я вижу аккаунт - значит пользователь есть. Я глядя на 1 аккаунт сразу точно знаю, к каким сервисам (а их десятки) есть доступ. Я блокируя 1 аккаунт точно знаю, что больше никакого доступа никуда и нигде нет.


Вам надо 10 паспортов выдать, чтобы в метро предъявляли 1, на улице другой, при входе на охраняемую терроторию 3й и т.д.

Хотя бы тысяча пользователей и предоставляемых на них сервисов штук 30-50, ты внезапно узнаешь последствия своих решений и перестанешь лишний раз вопить.

zgen ★★★★★
() автор топика
Ответ на: комментарий от AVL2

И да, 1 пароль на все сервисы, меняется в одном месте. Самим пользователем, там, так и тогда, когда ему удобно.

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

Их сопровождать не надо - дефолтовый скрипт пишется 1 раз и применяется ко всем пользователям.

да конечно. дефолтным не получится. У кого-то одна стандартная папка входящие, а у кого-то три.

Извернуться можно, но это в любом случае изврат.

А 10 ящиков per user настраивать кто будет?

Ну если у него реально десять ящиков? Их один раз завел и готово.

Свалка из юзеров и не-юзеров, это по 10 аккаунтов на пользователя размазанных по всему дереву. Если я вижу аккаунт - значит пользователь есть.

ага, но в АД предприятия его нет, то есть быть не должно, поскольку он не сотрудник.

Хотя бы тысяча пользователей и предоставляемых на них сервисов штук 30-50, ты внезапно узнаешь последствия своих решений и перестанешь лишний раз вопить.

Все идет от задачи. Если множество пользователей и однотипные ситуации, то да, централизованное дерево с одной учеткой и кучей атрибутов выглядит лучше.

А если пользователей мало, зато нужно гибкость что песец, то все наоборот.

AVL2 ★★★★★
()
Ответ на: комментарий от zgen

И да, 1 пароль на все сервисы, меняется в одном месте. Самим пользователем, там, так и тогда, когда ему удобно.

и нет, потому что потеряв свой парол от портала или почты на обычном снифере в макдональдсе, наш дорогой юзер сольет и свой удаленный доступ в сетку и свой вход на сервера и свой десктоп и все остальные 100500 сервисов.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

В общем Вы правы, что на каждый сервис нужен свой пароль, но в реальности пользователи поставят один и тот же. Будете техническими мерами навязывать им разные, будут записывать и отставлять бумажку на рабочем столе. Лучше зарубить доступ извне совсем. А если очень нужно то по отдельной учеткой с очень ограниченными правами.

anonymous
()
Ответ на: комментарий от anonymous

Все идет от задачи!

Нет серебряной пули. Я вот пришел уже к полному осознанию, что в ldap нельзя, да и не нужно хранить первичную базу данных на сервисы и пользователей. И по причине (относительной) ущербности LDAP и по причине ущербности самой идеи использования одной и той же БД и для ведения этих данных и для их использования в отдельно взятых сервисах типа AD, ftp, sip, адресная книга, dhcp ит.д.

Очевидно, что в одной программе нельзя учесть все столь разные требования к легкости, надежности, функциональности и производительности. И столь же очевидно, что взлом такой базы - дело времени и только.

Нужна база для ведения данных. Гибкая, функциональная, с доступом по всем анализам всех жидкостей человека, шифрацией и резервированием данных шопесец.

И система репликации отедьно взятых полей в базы сервисов. В том числе, в ldap, в том числе, в разные ветки и с дублированием всего и вся. Но чтобы в базе сервиса было только то, что ему нужно и было в полном объеме на локалхосте.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Поработаешь лет 5-10 хотя бы в средних размеров компании - приходи, поговорим еще раз.

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

Поработаешь лет 5-10 хотя бы в средних размеров компании - приходи, поговорим еще раз.

да уже. можно приходить?

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

да уже. можно приходить?

Управляешь учетками пользователей? Сколько их?

zgen ★★★★★
() автор топика
Ответ на: комментарий от AVL2

Тут мы подходим к самому интересному: к тому, что вообще LDAP к доменам не имеет ни малейшего отношения. DNS-запись хоста dc=host,dc=domain,dc=com - это не только нормально, это, вообще говоря, и единственно верно. А вот насчёт pupkin'а... Если его куда-то и нужно поместить, то в структуру организации, а не в домен: в cn=Engineers,ou=Staff,o=RogaKopyta,l=Moscow,c=RU а не в: cn=Engineers,ou=Staff,dc=roga-kopyta,dc=com В домене человеку делать действительно нечего, коль скоро он не часть логической структуры домена. И да, поиск ведётся начиная с _произвольной_ базы и по _атрибутам_, ни одна вменяемая программа не требует какой бы то ни было чётко определённой структуры DN (Zimbra хоть и требует, но она и считает, что это типа её личный каталог, поэтому-де кому не нравится - пусть всё сами руками ставят и настраивают). И уж если есть какая-то мощная необходимость запихать почтовый аккаунт (НЕ пользователя) в домен, то в записи такого объекта не должно быть атрибутов, дублирующих информацию о человеке. На информацию о человеке можно, например, сослаться, предварительно конечно озаботившись reference integrity.

DRVTiny ★★★★★
()
Ответ на: комментарий от AVL2

И по причине (относительной) ущербности LDAP

Вы про X500 читать не пробовали? Начните со слова КАТАЛОГ, а там легче пойдёт - вдруг и наступит просветление. Кстати, если вместо термина «база», очень фигово ложащегося на концепцию LDAP (это там внутри бэкендами могут быть и базы в том числе), применять всё-таки термин Каталог - всё гораздо раньше встанет на свои места. Самый лучший способ понять - зайти в телефонную будку и до просветления листать такую большую Жёлтую книгу, повторяя, как мантру: «не база данных, а каталог объектов». В итоге желание сделать 3 записи для одного объекта будет вызывать у вас органическое неприятие и отвращение, головокружение и тошноту - в связи с тем, что в голове нормального человека не может ни коим образом уместиться «растроение» одной сущности (если, конечно, этот человек не священник).

DRVTiny ★★★★★
()
Ответ на: комментарий от AVL2

и нет, потому что потеряв свой парол от портала или почты на обычном снифере в макдональдсе

Не стану углубляться в тематику сниферов и разных паролей на удаление всех пользователей из базы и rm -rf / на сервере, но отмечу всё же, что если вы беспокоитесь о безопасности и думаете о паролях, а не о парольных фразах и криптографических токенах, то вы совершенно точно о чём-то не о том думаете.

DRVTiny ★★★★★
()
Ответ на: комментарий от DRVTiny

Все это очень здорово, но ситуации, когда список пользователей одно сервиса мало пересекается со списком пользователей другого сервера вполне реальны. Держать общий список в этом случае не эффективно.

ведётся начиная с _произвольной_ базы и по _атрибутам_

Ни один клиент не ищет в ldap с «_произвольной_ базы». Это просто значит, что поиск идет всегда от корня. А еще это значит, что все сервисы могут искать в одном общем дереве, что само по себе кошмар с точки зрения безопасности.

И уж если есть какая-то мощная необходимость запихать почтовый аккаунт (НЕ пользователя) в домен, то в записи такого объекта не должно быть атрибутов, дублирующих информацию о человеке. На информацию о человеке можно, например, сослаться, предварительно конечно озаботившись reference integrity.

Вот-вот. Как же задалбывают эти фанатики от технологии. Плевать на затраты, плевать на задачу, главное, соблюсти священыые принципы большой ЛДАПЫ!

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Держать общий список в этом случае не эффективно.

В чем эта неэффективность выражается? Почему эффективней держать 2 пользователей?

Ни один клиент не ищет в ldap с «_произвольной_ базы». Это просто значит, что поиск идет всегда от корня.

Бред сивой кобылы, любому клиенту ты сам задаешь, где и что искать, от корня или нет, включая «детей» или нет.


Вот-вот. Как же задалбывают эти фанатики от технологии.

Задалбливают фанатики рисования велосипедов на каждый чих (а-ля напишу ка я свою схему с блек-джеком и шлюхами) и фанатики забивания гвоздей микроскопом (ну как же - ведь как использовать микроскоп зависит от задачи, у меня вот гвозди!), а потом причитания что LDAP такой-сякой.

Прежде всего, чтобы не иметь проблем ты должен понять, для чего нужен LDAP и как им правильно пользоваться. А уже потом варианты правильного использования применять в зависимости от задачи, иначе, рано или поздно, это тебе отзовется головной болью. Это называется «планирование архитектуры».

Конкретно ваши проблемы - от незнания (в частности о фильтрах) и нежелания ничего знать. Мне собственно все равно — ваши персональные архитектурные проблемы меня коснуться только тогда, когда я вашу базу буду вынужден начать поддерживать вместо вас или когда вы за помощью по LDAP сюда придете.

zgen ★★★★★
() автор топика
Ответ на: комментарий от DRVTiny

Самый лучший способ понять - зайти в телефонную будку и до просветления листать такую большую Жёлтую книгу,

а там написаны все-все данные на людей, компьютеры города, доступы во все здания и т.д.? Или это тот самый вариант, когда в телефонной книжке и в базе мвд наблюдается позорное явление «атрибутов, дублирующих информацию о человеке»?

AVL2 ★★★★★
()
Ответ на: комментарий от zgen

В чем эта неэффективность выражается? Почему эффективней держать 2 пользователей?

потому что эти списки могут вести разные люди. Потому что это упрощает аклы ибо их можно ставить на базу, а не на каждую запись.

Бред сивой кобылы, любому клиенту ты сам задаешь, где и что искать, от корня или нет, включая «детей» или нет.

«Не от корня, или нет», а от конкретной базы, которая в частном случае может быть и корнем. И в одном запросе можно указать только одну базу. Поэтому фраза «поиск по любой базе» применительно к одному запросу означает поиск от корня, потому что только корень гарантирует, что любой объект, куда бы мы его не поместили, попадет в зону поиска, а две или больше баз мы указать не можем.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

потому что эти списки могут вести разные люди. Потому что это упрощает аклы ибо их можно ставить на базу, а не на каждую запись.

В этом случае - согласен, проще. Ещё варианты есть?

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

В этом случае - согласен, проще. Ещё варианты есть?

Да таких вариантов просто море. Есть два противоположных тренда - централизация, когда стараются свести все в единую большую структуру и использовать ее максимально универсально и виртуализация, когда, наоборот, на одном и том же железе создают разные домены, чтобы иметь возможность обслуживать не связанные области.

Собственно, в первом случае востребовано единое дерево объектов, а во втором это дерево пилят, что бы иметь возможность невозбранно управлять одним не трогая другого. Да, есть пограничные ситуации, когда в целом все, например централизовано и красиво, но есть ряд исключений и наоборот, когда все в отдельно, но есть и общее. Решение зависит от задачи.

В любом случае, в чистом разуме, чтобы использовать ЛДАП, как каталог, нужно иметь возможность класть в него любые объекты с любыми атрибутами и обеспечить хотя бы эффективный поиск и чтение. Ни один ЛДАП-сервер с этим не справляется и не справится никогда, поэтому вопрос стоит не только не в том, как именно лучше использовать LDAP, а еще и в том, сколько он потянет.

Короче говоря, в теориии десять лет назад было одно, а на практике выходит совсем другое, поэтому я совершенно не удивлен, что самбисты наваяли свой собственный лдап под свои нужды. Посмотрим, как у них это получилось...

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Собственно, в первом случае востребовано единое дерево объектов, а во втором это дерево пилят, что бы иметь возможность невозбранно управлять одним не трогая другого.

Особенность в том, что невозможно невозбранно управлять данными человека Василий Пупкин, не трогая его данные или «размножая» Пупкина. Мало того, каталог - структура, которая сама по себе - просто набор статичных «исходных данных», частая запись в него - явление довольно странное и нетипичное. Насчёт безопасности - если вы потрудитесь изучить систему ACL для OpenLDAP того же, то узнаете, что стандартом и является поатрибутное ограничение доступа, так что сервисы и не обязаны читать «не свою» информацию, они её не просто увидят в результатах поиска.

В любом случае, в чистом разуме, чтобы использовать ЛДАП, как каталог, нужно иметь возможность класть в него любые объекты с любыми атрибутами и обеспечить хотя бы эффективный поиск и чтение.

Внезапно, это не «нужно», а «уже есть» - почитай года так с 95-го...

Ни один ЛДАП-сервер с этим не справляется и не справится никогда

Мне почему-то кажется, что это не LDAP-сервер с чем-то не справляется...

DRVTiny ★★★★★
()
Ответ на: комментарий от AVL2

А еще это значит, что все сервисы могут искать в одном общем дереве, что само по себе кошмар с точки зрения безопасности.

Кошмар с точки зрения безопасности - авторизация по паролям и не защищённые LDAP-соединения. Всё остальное решается на уровне ACL. Если вам так нужно разместить мега-специфичную для сервиса информацию, то вы её вообще можете запихать в какой-нибудь MySQL, потому что центральной идеей LDAP как раз является прежде всего предоставление в унифицированном виде общей информации об объекте, которая нужна многим. Условно говоря, номер телефона человека должен быть в каталоге, потому что это информация общего плана, а вот какое-нибудь время последней авторизации SIP-клиента пользователя на шлюзе Asterisk должно быть где угодно, но только не в LDAP, потому что это служебная информация очень узкого назначения, да ещё и часто обновляемая. Думайте о LDAP, как о хранилище паспортов объектов - zgen очень верно ведь показал эту аналогию. Ну неужели вы в паспорте будете вписывать артикул своего любимого пива в «Утконосе»?

DRVTiny ★★★★★
()
Ответ на: комментарий от DRVTiny

Насчёт безопасности - если вы потрудитесь изучить систему ACL для OpenLDAP того же, то узнаете, что стандартом и является поатрибутное ограничение доступа,

давно уже изучил. Управление схемами и аклами в openldap примитивно.

Ладно еще 389. Там хоть нормальный синтаксис и на ходу можно аклы менять. И схемы простыми ldifами ставятся.

что сервисы и не обязаны читать «не свою» информацию, они её не просто увидят в результатах поиска.

угу, а к ним еще вселенский моск нужен, чтобы контролировал области видимости.

Внезапно, это не «нужно», а «уже есть» - почитай года так с 95-го...

и вешается на интенсивных запросах. На почте, например.

Мне почему-то кажется, что это не LDAP-сервер с чем-то не справляется...

и опять фанатизм.

AVL2 ★★★★★
()
Ответ на: комментарий от DRVTiny

Кошмар с точки зрения безопасности - авторизация по паролям и не защищённые LDAP-соединения.

Угу, а курение убивает. Казалось бы, при чем тут банальности? Если бы могли обойтись без паролей - обходились бы. Кому они нужны сами по себе? Это строго ортогональный вопрос. Как и использование ssl, тунелей и т.п. средств защиты коммуникаций.

Думайте о LDAP, как о хранилище паспортов объектов - zgen очень верно ведь показал эту аналогию. Ну неужели вы в паспорте будете вписывать артикул своего любимого пива в «Утконосе»?

Ну в LDAP таких полей море. И самое главное, возникает вопрос, а нафига тогда LDAP в том виде, в котором оно есть, если в ней нет полной информации об объекте? С таким же успехом можно хранить паспорта в мыскле и реплицировать их в базы сервисов, от которых все равно не избавиться, раз в ЛДАП артикул своего любимого пива в «Утконосе» не вписать?

AVL2 ★★★★★
()
Ответ на: комментарий от DRVTiny

Что ещё за две базы, можно подробнее?

базы поиска. ключ -d

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Ладно еще 389. Там хоть нормальный синтаксис и на ходу можно аклы менять. И схемы простыми ldifами ставятся.

И менять на лету и схемы простыми ldif'ами OpenLDAP уже давно поддерживает :/

давно уже изучил.

Видно, что давно. Очень давно.

zgen ★★★★★
() автор топика
Ответ на: комментарий от AVL2

И схемы простыми ldifами ставятся.

Месье не осилил cn=config? Вообще в OpenLDAP начиная с 2.4 cn=config является основным механизмом конфигурирования (как вы это называеете - ldif'ами), а slapd.conf сильно не рекомендуется и может использоваться только в редких случаях, когда какой-то мега-ценный оверлей или бэкенд ещё не может настраиваться через cn=config. Впрочем, сейчас всё, что живо и поддерживается переехало, а что не переехало, то рано или поздно само загнётся, а оно вам надо?

угу, а к ним еще вселенский моск нужен, чтобы контролировал области видимости.

Нужен не вселенский мозг. а всело лишь отдельная учётка для каждого сервиса. Уж хотя бы набор используемых сервисом атрибутов вы должны знать по идее, не?

и вешается на интенсивных запросах. На почте, например.

Нда. Это просто ...ц. OpenLDAP Admin Guide, смотрите в сторону такой замечательной вещи, как индексирование. Правда помогает. И кстати в реляционных СУБД тоже.

С таким же успехом можно хранить паспорта в мыскле и реплицировать их в базы сервисов, от которых все равно не избавиться, раз в ЛДАП артикул своего любимого пива в «Утконосе» не вписать?

В базе MySQL создаётся поле «uid», по этому полю в LDAP можно найти всю информацию, которая относится к объекту. Вам же в какой-нибудь военный билет не вписывают всё, что у них там в военкомате имеется в деле? Опять же, никто не запретит запихать в объект всё, что угодно, это уже действительно вопрос удобства и целесообразности.

Главная ваша ошибка всё та же, что и раньше: LDAP - это вообще НЕ БАЗА. Это каталог тех объектов, которые как-либо участвуют в вашей IT-инфраструктуре. И этот каталог прежде всего и нужен как наиболее авторитетный источник информации. В разных базах типа SQL и каких угодно может быть сколько угодно упоминаний Пупкина, но в итоге Пупкин должен однозначно ассоциироваться с объектом в реестре/каталоге. Это примерно как самоуправление на местах: везде могут быть свои нормативные законы, но в итоге они обязаны быть согласованы с Конституцией. И это не фанатизм, потому что в таком случае вы можете сходить к Java-разработчикам и сказать, что их иерархии объектов с JNDI - это фанатизм, что всё оно нафиг не упёрлось и вообще можно программить в процедурном стиле.

DRVTiny ★★★★★
()
Ответ на: комментарий от AVL2

Если бы могли обойтись без паролей - обходились бы

Стесняюсь даже предположить... Нет денег на флэшку с токеном для каждого сотрудника?

DRVTiny ★★★★★
()
Ответ на: комментарий от zgen

Видно, что давно. Очень давно.

На самом деле openldap уже лет пять не смотрел. Переполз на (теперь уже) 389.

AVL2 ★★★★★
()
Ответ на: комментарий от DRVTiny

Стесняюсь даже предположить... Нет денег на флэшку с токеном для каждого сотрудника?

Во первых, нет. Во вторых, затраты не ограничиваются одной флешкой.

AVL2 ★★★★★
()
Ответ на: комментарий от DRVTiny

Главная ваша ошибка всё та же, что и раньше: LDAP - это вообще НЕ БАЗА. Это каталог тех объектов, которые как-либо участвуют в вашей IT-инфраструктуре. И этот каталог прежде всего и нужен как наиболее авторитетный источник информации.

В таком режиме он элементарно не удобен и поэтому не нужен. Проще и лучше тогда сделать свою базу со всеми нужными полями и из нее реплицировать нужные срезы информации в другие сервисы. Иначе мы получаем лишние лукапы по сети на ровном месте. Да, для вшивых нагрузок в организациях центр в LDAP вполне подходит, но для реальной нагрузки...

И это не фанатизм, потому что в таком случае вы можете сходить к Java-разработчикам и сказать, что их иерархии объектов с JNDI - это фанатизм, что всё оно нафиг не упёрлось и вообще можно программить в процедурном стиле.

В джаве никто не выносит дерево классов в сеть на уровень предприятия, чтобы при упадании сети в жабка дохла...

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Да, для вшивых нагрузок в организациях центр в LDAP вполне подходит, но для реальной нагрузки...

Репликация там есть. На чтение объектов LDAP быстрее SQL.

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

Репликация там есть.

Это не отвечает на вопрос, зачем LDAP?

На чтение объектов LDAP быстрее SQL.

Ога. Пока Озу хватает.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

AVL2, LDAP - вещь, которая ещё в каменном веке реплицировалась и была нативно распределённой. Реляционные базы данных через Ж. как-то, усложняя на ровном месте элементарное, научились реплицироваться только лет через 10 после LDAP. Но тогда LDAP-сервера уже умели работать в режиме мультимастера, прокси с кешированием запросов, балансировщика, и, например, в режиме прокси умели обращаться к нескольким серверам, «склеивая» ответы в одну виртуальную ирерархию. Вы поймите, я не пропагандирую LDAP как панацею и не считаю, что у технологии нет недостатков. Меня коробит то, что вы называете недостатками то, что либо существует либо только в вашей голове, либо не является недостатками. А о реальных косяках типа «уникального» DN и отсутствии вменяемых стандартов в самой в общем-то важной части - части организации распределённого каталога, - вы попросту не знаете.

DRVTiny ★★★★★
()
Ответ на: комментарий от AVL2

Проще и лучше тогда сделать свою базу со всеми нужными полями и из нее реплицировать нужные срезы информации в другие сервисы

Простите, но не слишком ли это тупо? Зачем реплицировать что-то куда-то, если речь идёт об информации, которая нужна только данному сервису и больше никому? Если позарез нужны данные из каталога в базе сервиса - копируйте их раз в сутки, это куда проще, чем создавать велосипед для франкенштейна с кучей выковыренных из самых интимных мест полей. Неужели так трудно понять, что есть данные для внутреннего пользования того или иного сервиса и есть данные, относящиеся глобально к объекту и различными сервисами разделяемые? Ну уж хотя бы про свой горячо любимый пароль подумайте: опустим пока, что есть SASL и сервисам нельзя позволять напрямую пытаться делать BIND на СК. Пароль-то - поле, разделяемое между всеми. А ещё многим нужен email, номер телефона, полное имя, фамилию, инициалы, подразделение, менеджера, уникальный числовой идентификатор сотрудника, да в общем я даже маленькую фотку человека обычно в каталог помещаю, это всего несколько килобайт...

DRVTiny ★★★★★
()
Ответ на: комментарий от DRVTiny

Насчёт пароля уточню особо, что если какой-то сервис прямо должен читать это поле, то такой сервис следует либо пофиксить, либо доработать. Обращение к userPassword или аналогам происходит неявно - попыткой аутентификации с переданным паролем.

DRVTiny ★★★★★
()
Ответ на: комментарий от AVL2

чтобы при упадании сети в жабка дохла...

У меня тут небольшой вычислительный кластер, на каждой машине реплика нужной для аутентификации пользователей кластера части каталога. Отваливание сети никак на работу аутентификации не влияет, то есть совсем вообще никак.

DRVTiny ★★★★★
()
Ответ на: комментарий от DRVTiny

AVL2, LDAP - вещь, которая ещё в каменном веке реплицировалась и была нативно распределённой.

да в какой реальности вы все живете, что у вас ldap (небось еще и openldap) все давно умел и умеет. А в реальности мультимастер с AD в 389 до сих пор глючит, как смертный грех. Между собой еще ничего, но тоже ведь не идеал.

Но тогда LDAP-сервера уже умели работать в режиме мультимастера, прокси с кешированием запросов, балансировщика, и, например, в режиме прокси умели обращаться к нескольким серверам, «склеивая» ответы в одну виртуальную ирерархию.

и потребовался редхат, чтобы купить и открыть монстра netskape planet...

Меня коробит то, что вы называете недостатками то, что либо существует либо только в вашей голове, либо не является недостатками. А о реальных косяках типа «уникального» DN и отсутствии вменяемых стандартов в самой в общем-то важной части - части организации распределённого каталога, - вы попросту не знаете.

Да како смысл ковырять проблемы столь высокого уровня, если то, что есть, даже в теории не имеет практического смысла? ДА, технология старая, да, она ограничено работоспособна, но это тупик и именно поэтому LDAP сегодня живет только там, где на него поставили и никогда не слезут- в AD и адресных книжках. Все остальное прекрасно живет и без LDAP и живет ведь...

AVL2 ★★★★★
()
Ответ на: комментарий от DRVTiny

Зачем реплицировать что-то куда-то, если речь идёт об информации, которая нужна только данному сервису и больше никому?

Затем, что в зону доступности этого сервиса она и реплицируется. А править нужно централизованное хранилище из которого информация растекается по сервисам. Каждый сервис имеет свою базу. .

Пароль-то - поле, разделяемое между всеми.

далеко не всегда.

AVL2 ★★★★★
()
Ответ на: комментарий от DRVTiny

У меня тут небольшой вычислительный кластер, на каждой машине реплика нужной для аутентификации пользователей кластера части каталога. Отваливание сети никак на работу аутентификации не влияет, то есть совсем вообще никак.

ну вот, осталось понять, зачем там именно ldap.

AVL2 ★★★★★
()
Ответ на: комментарий от DRVTiny

Насчёт пароля уточню особо, что если какой-то сервис прямо должен читать это поле, то такой сервис следует либо пофиксить, либо доработать. Обращение к userPassword или аналогам происходит неявно - попыткой аутентификации с переданным паролем.

Что влечет за собой передачу открытого пароля по сети. Зашибись, решеньице. ЗАто в LDAP мы гордо храним хеш и спим спокойно. Враг пароль не расшифрует.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

ну вот, осталось понять, зачем там именно ldap.

Потому что под вашу БД надо писать (и поддерживать) велосипеды, а LDAP поддерживается большинством приложений разного уровня - от коммутаторов до любимого тут Ынтерпрайза.

zgen ★★★★★
() автор топика
Ответ на: комментарий от AVL2

А в реальности мультимастер с AD в 389 до сих пор глючит, как смертный грех.

Не юзайте говняшку.

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

Потому что под вашу БД надо писать (и поддерживать) велосипеды, а LDAP поддерживается большинством приложений разного уровня - от коммутаторов до любимого тут Ынтерпрайза.

Воот. Это +. Поэтому и жив АД, что его поддерживают клиенты.

Но надо учитывать, что приложениям (клиентам, сервисам), во первых, вовсе не нужен единый каталог и даже более того, он противопоказан по всем соображениям стабильности, скорости и безопасности.

Приложениям нужен конкретный срез каталога, достаточный для их функционирования. Но здесь и сейчас, а не там, в недрах сети.

И второе, приложения могут не любить LDAP, а любить, к примеру, postgresql или mysql, как это делают днс или pure-ftpd. Жить одним ldap, как минимум, неэффективно да и не всегда возможно.

Да, если речь про инфраструктуру АД, где поднял домен и нате готовый инструмен для ведения учеток, днс-записей и т.д., то да, но с этой точки зрения похрен что там внутри - все равно поднимем домен и что он предложит, то и используем.

А если выбор есть, например, своя админка, то не вижу никакого смысла делать центральный каталог в LDAP. Гораздо гибче вести свою базу, а из нее уже формировать ldap каталоги для тех клиентов, которым они нужны.

AVL2 ★★★★★
()
Ответ на: комментарий от zgen

ssl/tls

ну бредово же отмахиваться от проблемы открытой передачи пароля топором ssl/tls. Это же очевидный архитектурный изъян.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Но здесь и сейчас, а не там, в недрах сети.

Нет никаких недр сети - кому нужно, у того реплика каталога под боком.

И второе, приложения могут не любить LDAP

bind работает с ldap. pure-ftpd - работает с ldap.


Да, если речь про инфраструктуру АД,

Речь про инфраструктуру, которую ты сам спланировал. Хочешь DNS в ldap - пожалуйста. Хочешь sip accounts в ldap - пожалуйста, хочешь свое приложение в ldap - пожалуйста, хочешь dhcp, apache, nginx, samba, wifi - пожалуйста. И тэ дэ и тэ пэ.

Гораздо гибче вести свою базу, а из нее уже формировать ldap каталоги для тех клиентов, которым они нужны.

Писать велосипеды. Ну пишите, что ж с вами поделать.

zgen ★★★★★
() автор топика
Ответ на: комментарий от zgen

Речь про инфраструктуру, которую ты сам спланировал. Хочешь DNS в ldap - пожалуйста. Хочешь sip accounts в ldap - пожалуйста, хочешь свое приложение в ldap - пожалуйста, хочешь dhcp, apache, nginx, samba, wifi - пожалуйста. И тэ дэ и тэ пэ.

Все это прекрасно работает и без ldap. И работает надежней.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

ЗАто в LDAP мы гордо храним хеш и спим спокойно

Я сейчас вас вообще сражу наповал откровением. Дело в том, что стандартный механизм аутентификации в OpenLDAP - это... ага, SASL. А SASL - это что такое...? Бегом в поиск! :)

DRVTiny ★★★★★
()
Ответ на: комментарий от AVL2

И работает надежней.

Пополам! Нет, жёлтое! Что за бред вообще, что за детский лепет? Когда надёжнее, где надёжнее, что, почему, откуда берутся такие утверждения вообще?!

DRVTiny ★★★★★
()
Ответ на: комментарий от DRVTiny

Я сейчас вас вообще сражу наповал откровением. Дело в том, что стандартный механизм аутентификации в OpenLDAP - это... ага, SASL. А SASL - это что такое...? Бегом в поиск! :)

О чем и речь. Ура, внутре у нас sasl! Враг не пройдет. Правда чтобы дойти до него, надо передать пароль нашему сервису запиской через бомжа в метро.

AVL2 ★★★★★
()
Ответ на: комментарий от DRVTiny

Пополам! Нет, жёлтое! Что за бред вообще, что за детский лепет? Когда надёжнее, где надёжнее, что, почему, откуда берутся такие утверждения вообще?!

опыт? openldap может и не стартовать. Или стартовать позднее. Или отвалиться с течением времени. Все это было.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Все это прекрасно работает и без ldap. И работает надежней.

Не зная, что у вас за проблемы не могу судить. У меня никаких проблем с надежностью.

zgen ★★★★★
() автор топика
Ответ на: комментарий от AVL2

опыт? openldap может и не стартовать. Или стартовать позднее. Или отвалиться с течением времени. Все это было.

руки?

zgen ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.