Единая база пользователей в MySQL для различных сервисов

улыбнуло:
==============
Сегодня мы предлагаем свободные (OpenSource) операционные системы для внедрения на предприятии, лицензионно чистой и экономически более выгодной замены продукции компании Microsoft.
http://avist.biz/page/cat/2.html


Оцифровка видео
Недавно на пике популярности были аудио и видеокассеты. Но, как оказалось на практике, данные носители недолговечны. Например, видеокассета может хранить видеоизображение без потери качества всего 2-3 года. После чего пленка начнет «размагничиваться» даже при условии, что кассета будет просто стоять на полке. Если же ей придется и «работать», лет через 15 ваши записи будет невозможно смотреть. В случае периодического копирования пленки, каждая последующая запись ухудшает качество примерно на 10%.
Поэтому те, кто хочет сохранить драгоценные аудио и видеоархивы для потомков, все чаще обращаются за помощью к специалистам за «оцифровкой».

http://avist.biz/node/show/24.html

а виндовые тачки как к этому привертеть?

статья унылое фуфло. как раз для аутентификации многих сервисов более универсален ldap.

как раз сегодня начал поднимать лдап сервер, но как-то медленно все движется :\ даже гентушные вики не особо помогли

"для различных сервисов" на практике - samba да nss?

dns/dhcp/apache/ftp/mail/svn/spamassassin

уже не говоря о менее распространенных. Так что статья можно сказать только вступление.

Согласен с предыдущим оратором, не вижу смысла менять ldap со всеми сервисами на mysql. Первый намного более гибкий.

ldap - это та еще жопа...

> ldap - это та еще жопа...

Да нормально все. LDAP удачная универсальная реализация с оптимизацией на выборку данных.

>а виндовые тачки как к этому привертеть?

pGina. Но вместо мускульного бекенда желательно юзать ldap (fds или apacheds).

у кого получилось завести apacheds на дебиане - расскажите как :)

это сколько сотен пользователей надо иметь в локальной сети, чтоб пришлось их хранить с базе?

> это сколько сотен пользователей надо иметь в локальной сети, чтоб пришлось их хранить с базе?

что, не доводилось видеть сети в 2000 юзеров?

> Да нормально все. LDAP удачная универсальная реализация с оптимизацией на выборку данных.

И где можно почитать рассказ о их схемах на человеческом языке и в применении к абстрактному сервису, а не заточенное на Samba/AD?

А то, вот, сейчас надо сделать несколько сайтов, и как компромисс LDAP для аутентификации и авторизации (сайты на совершенно разных языках/платормах) выглядит хорошо. Но комикса с картинками «как сделать простую схему на имя, пароль и пару полей профайла; а так же как вычистить кучу мусорных схем из дефолтной установки slapd» в упор не нашлось.

да уж, с этими схемами как-то намудрено

4 буквы, ldap

> как раз для аутентификации многих сервисов более универсален ldap.

ldap - унылое говно. Инопланетный синтаксис и семантика схем, никакая производительность, черезжопная репликация и бэкап.

Да блин хоть ldap, хоть mysql, только блин в большинстве дистров настроить ftp+samba+(mysql/ldap) - это жуткий гемор.

Например, в Debian Etch ProFTP по дефолту собран без поддержки аутентификации через MySQL и всё - приплыли. Еси пересобирать из сорцов - то моментально имеем все прелести последующего геморроя при обновлении. В этой ситуации только Гентушникам можно радоваться - у них с этим полный ажур, только вот хочется чего-нибудь со стабильностью Дебиана...

Может и так .... только предлагаемая схема на мыскле - еще блин хуже!

> Например, в Debian Etch ProFTP по дефолту собран без поддержки аутентификации через MySQL

Гон. Насколько я помню, там надо в отдельном конфиге раскомментировать подгрузку модуля только. И не грузить аутентификацию через постгрес перед ним.

http://packages.debian.org/etch/proftpd-mysql ?

ххы, LAMP-быдлокодеры внедряются во корпоративные сети?

Так то идея неплохая, а на ЛДАПе строить или еще на чем - вопрос отдельный для каждой ситуации

> А также намного проще администрировать, настраивать, модифицировать структуру БД MySQL, чем LDAP.

Huh? LDAP-браузеры для этих целей. Использовать pam для аутентификации каких-либо сервисов - не тру-вей, грозящий получением непредусмотренных привилегий. А в случае со сквозной аутентификацией - еще и опасный. Администрировать такую систему - что минному полю ходить. Захотел изменить БД - что не так сделал, и фсе.

Многие не понимают сущности и выгод схем в LDAP. А они на самом деле намного гибче структуры БД. И я умоляю пытаться вырезать стандартные схемы - никто не заставляет заполнять все поля, предоставляемые схемой. Стандартные схемы покрывают 90 % всех потребностей. Единственное, что действительно напрягает в LDAP - это ACL. Но наличие такой штуки как FedoraDS с ее мощной консолью администрирования нивелирует этот минус.

Мдя ... краткий howto не понятно зачем. Вот только с LDAP работает гораздо большее количество ПО. (к тому же LDAP позволяет использовать mysql как backend)

>> ldap - унылое говно. Инопланетный синтаксис и семантика схем, никакая производительность, черезжопная репликация и бэкап.

Ниасилил LDAP? Забейся в угол. Схемы предельно понятны, производительность настраивать нужно - читай FAQ-O-Matic. У меня реплицакия между 8 узлами работает по суффиксам без проблем. А ниасилившие ldapsearch проходят к апстенке.

Да, ACL в openldap - это что-то...

>только вот хочется чего-нибудь со стабильностью Дебиана...

hardened-gentoo

На мой взгляд схемы LDAP очень просты для понимания, да и строятся они по сути из тех же кирпичиков - типов данных, что и табличные типы MySQL. LDAP - собственно, объектно-ориентированное развитие реляционных баз данных. Дополнительно здесь вводятся только понятия класса объекта - т.е., проще говоря, совокупности обязательных и необязательных типизированных атрибутов (существующих самостоятельно и описываемых отдельно от классов). Огромное количество документации по LDAP (даже какая-то статья про multimaster на OL есть) при желании можно найти на http://zytrax.com/books/ldap
Собственно, кто ищет, тот всегда обрящет..

>статья унылое фуфло. как раз для аутентификации многих сервисов более универсален ldap.

По ссылке еще присутствует некое обсуждение и "просвещенное" мнение автора. Люди две недели как увидели линукс, а уже пишут такие "просвещенные" статьи. Детский сад, ясельная группа.

> http://packages.debian.org/etch/proftpd-mysql ?

Убедил.

А что сделать, если я ещё и квотирование (что логично) хочу прикрутить к этим proftpd+samba+mysql, не заводя нового unix-пользователя?

1) Чтобы делать свою схему, нужно зарегать свой uid.

2) Чайнику не нужно создавать свои схемы. Схема должна создаваться только опытным специалистом, понимающим, что он делает и зачем.

"простая схема на имя, пароль и пару полей профайла" уже давно есть, среди "кучи мусорных схем из дефолтной установки slapd".

3) чистить "кучу мусорных схем из дефолтной установки slapd" не нужно. Их надо использовать по необходимости, а ненужные закомментарить в конфиге slapd.

и последнее, использовать ldap для аутентификации и авторизации на сайте не стОит. По крайней мере openLdap довольно капризен в настройке и весьма плохо переваривает скачки нагрузки.

Сделать тоже самое на мускуле будет и быстрее и надежнее...

http://img180.imageshack.us/img180/3766/diaof0.png

Схема реализована на Fedora DS Успешно работает с прошлой весны.

>Схема реализована на Fedora DS Успешно работает с прошлой весны.

Да в чем ты их собираешься убедить. Для них это тяжело...

> Да в чем ты их собираешься убедить. Для них это тяжело...

Простые вещи должны делаться просто. А не через лдап.

> будет и быстрее и надежнее...
и ГЛОБАЛЬНЕЕ

>Простые вещи должны делаться просто. А не через лдап.

Хи-хи... Ты этот лдап хоть нюхал, или так и не решился? Задолбали эти извращенцы, так и норовят впихнуть невпихуемое!

> Мдя ... краткий howto не понятно зачем. Вот только с LDAP работает гораздо большее количество ПО. (к тому же LDAP позволяет использовать mysql как backend)

Для ускорения работы не рекомендуется использовать базы данных :) иначе вся прелесть быстроты выборки теряется. Используй стандартный бакэнд и рули индексами :)

> Хи-хи... Ты этот лдап хоть нюхал, или так и не решился?

Нюхал. И после прикручивания gssapi/kerberos аутентификации к slapd, мне очень хотелось перебить полинета, включая официяльный сайт openldap. За распространение вопиющей дезинформации.

>Нюхал. И после прикручивания gssapi/kerberos аутентификации к slapd, мне очень хотелось перебить полинета, включая официяльный сайт openldap. За распространение вопиющей дезинформации.

Хи-хи... Продуктами RedHat пользоваться надо!

OpenLDAP на самом деле стабилен, как коммунистический режим в Китае. Просто нужно уметь пользоваться средствами его отладки. Если OpenLDAP падает, значит есть тому объективная причина, и эту причину вы увидите в логах (выводе дебага). К тому же, не следует забывать о том, что настройка OpenLDAP - это ещё и конфигурирование Berkeley DB и чудесный файлик DB_CONFIG, в котором как раз случаи "скачков нагрузок" можно предусмотреть.
Кстати, а на кой ляд gssapi/kerneros напрямую крутить к OpenLDAP, если есть SASL? Из соображений религиозного садомазохизма?

>>после прикручивания gssapi/kerberos аутентификации к slapd, мне очень хотелось...

... написать хавтушку о прикручивании "gssapi/kerberos аутентификации к slapd" ?

Кстати, раз вы такой умный, как в LDAP хранить значения с плавющей точкой?

> Например, в Debian Etch ProFTP по дефолту собран без поддержки аутентификации через MySQL и всё - приплыли.

Двоечник, apt-get install proftpd-mysql Опционально - apt-get install proftpd-ldap :)

>Кстати, раз вы такой умный, как в LDAP хранить значения с плавющей точкой?

Кстати, раз вы такой умный, _ЗАЧЕМ_ в LDAP хранить значения с плавющей точкой?
:)

>>На мой взгляд схемы LDAP очень просты для понимания, да и строятся они по сути из тех же кирпичиков - типов данных, что и табличные типы MySQL. LDAP - собственно, объектно-ориентированное развитие реляционных баз данных. (c)DRVTiny

Т.е. если кто-то хочет поговорить про LDAP как "объектно-ориентированное развитие реляционных баз данных", то стоит в начале задаться несколькими простыми вопросами - какие численные типы данных поддерживает эта база данных и как организовать выборку этих данных.

Ответ - никак.

>это сколько сотен пользователей надо иметь в локальной сети, чтоб пришлось их хранить с базе?

Даже 50 уже достаточно, представьте себе по аккаунту на каждый сервис, сколько выходит?

>Ниасилил LDAP? Забейся в угол. Схемы предельно понятны, производительность настраивать нужно - читай FAQ-O-Matic. У меня реплицакия между 8 узлами работает по суффиксам без проблем. А ниасилившие ldapsearch проходят к апстенке.

Согласен, тоже реплицирую себе между кучей узлов, уже не помню, когда с ним проблемы были.