OpenLDAP 2.1.23

Re: OpenLDAP 2.1.23

Кстати, помимо новой версии OpenLDAP 2.1.23, также сейчас доступен для закачки бета-версия OpenLDAP - OpenLDAP 2.2.2beta.

Новые фичи / вкусности:

- LDAP Sync-based replication engine
- Proxy Cache engine
- Hierarchial database backend (back-hdb)
- Access control enhancements (dynamic groups, value-level)
- NS SLAPI support
- Updated backend interface
- LDAPv3 extensions:
+ LDAP Sync Operation
+ LDAP Pre- and Post Read Back controls
+ LDAP modify/increment
+ LDAP no-op control

dotcoder (15.10.2003 14:13:30)

Re: Re: OpenLDAP 2.1.23

А может кто внятно объяснить зачем оно нада?

Re: Re: Re: OpenLDAP 2.1.23

>А может кто внятно объяснить зачем оно нада?

Это же вообще рулезная весчь...

dotcoder (15.10.2003 14:22:46)

Re: Re: Re: Re: OpenLDAP 2.1.23

> Это же вообще рулезная весчь...

Была бы рулезная - а чего тогда ее в слаке нету?

Re: Re: Re: OpenLDAP 2.1.23

> А может кто внятно объяснить зачем оно нада?

http://www.redbooks.ibm.com/redbooks/SG244986.html

Rem (15.10.2003 15:02:13)

Re: Re: OpenLDAP 2.1.23

Кто-нибудь может прояснить назначение этой фичи ???
> + LDAP Pre- and Post Read Back controls

Re: Re: Re: Re: OpenLDAP 2.1.23

> http://www.redbooks.ibm.com/redbooks/SG244986.html

Так это все есть в AD и NDS, уже сто лет и реализовано качесвенее и безопаснее чем в этом кривом поделии.

Re: Re: Re: Re: Re: OpenLDAP 2.1.23

Что мне нравится в анонимусах - так это понимание вопроса. Глубокое. Какого - нибудь.

Милый, а что такое по твоему AD? А? LDAP в мелкософтовом понимании.

z2v (15.10.2003 17:28:18)

Re: Re: Re: Re: Re: OpenLDAP 2.1.23

Ну, может он сравнивал разные реализации LDAP. Потому как сам LDAP поделием назвать сложно - это всего лишь протокол...

svu (15.10.2003 17:31:48)

Re: Re: Re: Re: Re: OpenLDAP 2.1.23

Во-первых, эпитет "кривое" - это оценка. Без предоставления фактов, на основе которых эта оценка сделана - является просто безответственной болтовней (хотя, очевидно, словосочетание "ответственный аноним" является оксимороном).

Во-вторых. О конкретном (хотя и экзотическом) примере. Если я хочу хранить мою записную книжку локально, но в лдапе, под линухом (как я это сейчас и делаю) - чем АД и НДС мне помогут? Причины - личного характера (придурь:).

svu (15.10.2003 17:32:45)

Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

> Милый, а что такое по твоему AD? А? LDAP в мелкософтовом понимании.

Это в понимании z2v-ов AD это LDAP, а в понимании анонимусов AD - жалкая пародия на NDS!

Ты его вообще хоть раз видел? Или считаешь что AD это LDAP, PhotoShop это GIMP, Excel это sc -- только все это "в понимании Микросовт"?

Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

ИМХО придурь это не задача MS и Novell, с этим и IBM с HP вряд-ли помогут.

Re: OpenLDAP 2.1.23

Как мы в институте внедрили openldap

http://www.chirt.ru/cit/ldap.html

Bushi (15.10.2003 17:42:28)

Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

2z2v (*) (15.10.2003 17:28:18)

"Милый, а что такое по твоему AD? А? LDAP в мелкософтовом понимании."

LDAP (Lightweight Directory Access Protocol )это ПРОТОКОЛ.
NDS и AD это Directory Services, работающие поверх этого протокола. rfc на LDAP v2 реализован и в NDS (eDirectory по нынешнему) и в AD. LDAP v3 по-моему только в AD.
Не надо мешать мух с котлетами, так как кроме eDir и AD можно сходу назвать как минимум десяток продуктов с реализацией LDAP.

Krause (15.10.2003 17:43:21)

Re: Re: OpenLDAP 2.1.23

Вполне себе внятненький документ. Маладцы ребята. Только жаль, нонешняя мозила не понимает протокола ldap: (вроде, раньше нетшкаф понимал).

svu (15.10.2003 17:52:39)

Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

Слово "придурь" предназначено для обозначения причин, которые я не хочу обсуждать и которые к данному вопросу отношения не имеют. Короче, плиз, ответьте мне - придут ли уважаемые МС и Новел мне на помошь в данном вопросе - и сколько мне это будет стОить?

svu (15.10.2003 17:56:25)

Re: Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

надо понимать, что ответ на вопрос

> зачем оно нада?

в понимании svu таков:

> хранить мою записную книжку локально, но в лдапе, под линухом

что ж, ответ принимается. Даже жаль что более серьезных применений для сабжа не нашлось.

Re: Re: Re: OpenLDAP 2.1.23

>Только жаль, нонешняя мозила не понимает протокола ldap: (вроде, раньше нетшкаф понимал).

Как не понимает? Вроде настраивал адресную книгу mozilla через ldap без проблем.

Bushi (15.10.2003 18:08:50)

Re: Re: Re: Re: OpenLDAP 2.1.23

Не понимает в смысле что нельзя написать в адресной строке ldap://ldap.xxx.com, и смотреть директорию как если бы это file:///....

кстати konqueror это умеет.

Re: Re: Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

Замечательно! Взять два никак не относящихся куска текста в обсуждении - и склеить в произвольном порядке. А буковки ножницами из газет не вырезаете? Ведь это же один из классических способов создания анонимных писем (см. "Собаку Баскервилей" и пр.) - анонимус должен быть в курсе?

Кто и где сказал, что тот вопрос, который я задал - относится к ЕДИНСТВЕННОМУ применению субжа? Я даже специально подчеркнул выше - мой случай - экзотический (кстати, понимать ли Ваш пост как признание того, что в моем экзотическом случае применения - МС и Новел бессильны?).

А сабж вполне годится для хранения данных компании и пр. См. ссылку о внедрении директорий в учебном заведении. Там реализация в виде субжа или нет?

svu (15.10.2003 18:12:38)

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

>См. ссылку о внедрении директорий в учебном заведении. Там реализация в виде субжа или нет?

Да, сделано на OpenLDAP (уехали с пиратской MS AD). Сейчас количество пользователей в базе превысило 1000. Удобно с ldap интегрировать остальные службы. По сути самбы, сквиды, почтовые сервера, фтп-сервера являются клиентами ldap. Да и просто удобно еще и как адресную книгу в mozill'е или ms outlook использовать.

Bushi (15.10.2003 18:16:58)

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

Спасибо. Заткнули рот выскочке-анонимусу. Именно так все приличные люди и должны применять OpenLDAP. Кстати, а репликация работает быстро на такой большой базе?

svu (15.10.2003 18:20:15)

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

Как именно так употреблять -- для затыкания рота выскачкам-ананимусам?

А на записные книжки его пускають, значит, люди исключительно неприличные

Кстати, какая же это большая база -- 1000 человек? у меня в бумажной книжке пол-столька.

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

svu, ты пойми, в борьбе бобра с козлом неизбежно побеждает бобро...

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

:))) Затыкание рта анонимусам - побочный эффект правильного применения, заключающегося в использовании сервера как центра аутентификации и авторизации.

Да, пускать лдап на адресные книги - маргинализм, готов в этом расписаться. Но ведь можно же. И за это спасибо OpenLDAP. За наше, так сказать, счастливое детство (правда, оно давно прошло, но дело не в этом:).

Вы не путайте - 1000 человек, которые просматривает ОДИН клиент (как раз моя ситуация) - и 1000 человек, которые ломятся и требуют их авторизовать, да побыстрее... Часиков в 9 утра, наверное, OpenLDAP здОрово проседает...

svu (15.10.2003 18:46:45)

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

Уверены? Ну спасибо, утешили. Теперь хоть ночью буду спать спокойно.

svu (15.10.2003 18:47:32)

Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

2: Krause (*) (15.10.2003 17:43:21)
The nitty-gritty details of LDAP are defined in RFC2251 "The Lightweight Directory Access Protocol (v3)" and other documents comprising the technical specification RFC3377.
Т.Е. Реализация протокола v.3 http://www.openldap.org/doc/admin21/intro.html#What%20is%20a%20directory%20se...
см.

И никто мух с котлетами не мешает.

z2v (15.10.2003 18:56:57)

Re: Re: OpenLDAP 2.1.23

весьма толково... делаем примерно то же самое в родном вузе

РЕ: Как мы в институте внедрили openldap

ВОТ ЭТО по-нашему! Правильно! я анонимусов презираю как класс. За неправилную ориентацию. Кривые руки? Тогда вас не спасут проклятия в сторону Майкрософт. Главное не то, под какой системой работаешь, а, чтобы вся система работала. И работала правильно, так, чтобы не дымились тапки от беганья между клиентскими тачками.

redactor (15.10.2003 19:33:46)

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

>Вы не путайте - 1000 человек, которые просматривает ОДИН клиент (как раз моя ситуация) - и 1000 человек, которые ломятся и требуют их авторизовать, да побыстрее... Часиков в 9 утра, наверное, OpenLDAP здОрово проседает...

Да, когда начинаются занятия в компьютерных классах, нагрузка чувствуется, но терпимо.

Bushi (15.10.2003 19:33:50)

Re: Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

2z2v (*) (15.10.2003 18:56:57)
"И никто мух с котлетами не мешает"
Ну и..? :) Я собсно возразил против формулировки "AD типа есть LDAP в мелкософтовом понимании". Формулировка в принципе некорректная. ЭТо как eDir является лдапом в понимании Novell, SunOne DS лдапом в понимании Sun, etc..
А то что ОпенЛдап поддерживает спецификации LDAPv3 для меня не является секретом.. OL такая же служба катлога, только простая как табуретка, потому как является практически голым рфц..

Krause (15.10.2003 20:53:34)

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

svu:

> Кстати, а репликация работает быстро на такой большой базе?

> Вы не путайте - 1000 человек, которые просматривает ОДИН клиент (как раз моя ситуация) - и 1000 человек, которые ломятся и требуют их авторизовать, да побыстрее... Часиков в 9 утра, наверное, OpenLDAP здОрово проседает...

Это вы не путайте, в контексте вопроса о репликации 1000 пользователей не такой уж большой объем.

Re: Re: OpenLDAP 2.1.23

>Re: OpenLDAP 2.1.23 >Как мы в институте внедрили openldap

>http://www.chirt.ru/cit/ldap.html

>Bushi (*) (15.10.2003 17:42:28)

Красиво :-) А патчами к LAM у вас разжиться можно?

Re: Re: Re: OpenLDAP 2.1.23

>А патчами к LAM у вас разжиться можно?

Э... там не совсем патчи, все полностью переработано. Много изменений, и до сих пор еще все сыровато. Изменения по сравнению с оригинальным проектом:

-использовании utf-8 для хранении в openldap русских атрибутов -руссификация интерфейса -использование в качестве rdn не uid, а cn для пользователей -cn формируется на основе русских имени и фамилии -добавление к имени uid суффикса, прописаного в конфиге и суффикса, который формируется на основе ou: например, имя студента будет выглядеть как ivanov.group19.stud -по другому хранятся в базе хосты windows, posixAccount не используется, то есть не нужны uidNumber, gidNumber, homeDirectory и т. д. -используется атрибут для хранения отчества -изменена процедура массового добавления пользователей, добавлены атрибуты, возможность выбора кодировки текстового cvs-файла (koi8-r,cp-1251,utf-8) -unix-пароли теперь хешируются алгоритмом SMD5 -изменена процедура создания домашних каталогов и установления квот -автоматическое выставление sid'ов для хостов windows -расширены профили для добавления "по умолчанию" ну и много чего еще. Делал на основе LAM alpha 0.2 - уже вышла alpha 0.3 - теперь вообще мало похожего стала. Остался только интерфейс оригинальный.

Bushi (16.10.2003 12:53:41)

Re: Re: Re: Re: OpenLDAP 2.1.23

Да, серьезно... И довольно специализированно. А сложно там utf-8 прикручивается? Кстати, а как у вас производительность LDAP? У меня getent passwd отрабатывает за ~25 секунд на 300 юзеров с bdb4.0 в качестве backend.

А можно, мейлом на losthost@narod.ru :-)

OpenLDAP 2.1.23

Любопытно. А все хорошо помнят о том, что ldap с точки зрения защищенности паролей аналогичен telnet? и интерес для авторизации представляет ldaps, с которым все гораздо грустнее (покажите к примеру сборку libapache-auth-ldap с его поддержкой, или внятный алгоритм пересборки без произвольного махания пальцем на developers.netscape.org)

Agnostic (16.10.2003 16:00:26)

Re: OpenLDAP 2.1.23

Повесь на комп с апачем stunnel, который будет слушать 127.0.0.1:636 и форвардить на где.у.тебя.ldap:636.

OpenLDAP 2.1.23

Понятно, что шифрованные тунели между хостами решают многие подобные проблемы. Речь о том, что умеет сам LDAP в данной реализации. Для AD никто же не предлагает запускать в сети IPSec?

Agnostic (16.10.2003 16:23:01)

Re: OpenLDAP 2.1.23

These are my notes about how I got OpenLDAP (v2.0.7), OpenSSL (v0.9.5a), SASL (v1.5.24) and MIT KerberosV (v1.2.2) to work together.

http://www.bayour.com/LDAPv3-HOWTO.html

Sun-ch (16.10.2003 16:31:38)

Re: OpenLDAP 2.1.23

Сам LDAP умеет. Т.е., samba, pam/nss_ldap, jabber-нве auth-модули, GQ к нему ходят по SSL без проблем. Апачевый модуль я не видел, но по коду там ничего страшного быть не должно - погляди вокруг ldap_start_tls_s, например в сырцах gq.

OpenLDAP 2.1.23

pam_ldap, как и апачевый модуль, сможет ходить через ldaps только после того, как будет пересобран с Netscape's SSL API. Который надо еще найти и куда то поставить (что не на сервер - это точно). Если кто-то из производителей дистрибутивов собирает пакеты уже с ним - было бы любопытно узнать кто именно (Debian не собирает точно). Если у кого то есть на него ссылка - тоже было бы любопытно. В свое время мне не удалось найти ни одного живого человека, использующего это в деле. А теоретически конечно все неплохо.

Agnostic (16.10.2003 18:57:13)

Re: OpenLDAP 2.1.23

У меня Debian-овский ldap пересобран с ssl (пересобрал то ли testing, то ли unstable), после этого все прекрасно собирается c libldap2-tls и работает. Без Нетскейповских либ.

Re: Re: OpenLDAP 2.1.23

a chto eto ono ne gruzitca? goworit "unknown proxy server" eto tipo tak nado?

Re: Re: OpenLDAP 2.1.23

Да, каюсь, я несколько увлекся. Сейчас проверил - проблема именно с libapache-auth-ldap. При его пересборке с ключем --with-ssl сборка разваливается на файле ldap_ssl.h (это и есть тот самый SDK). pam-ldap я пересобрал с ssl без проблем.

Agnostic (17.10.2003 13:06:34)

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

Ну, в общем, наверное, я действительно погорячился. Для репликации лдапа это все равно. Ведь при логинах же изменений в лдапе обычно не происходит - следовательно, изменения действительно редки - поэтому репликация должна происходить мгновенно. Короче, 1000 записей действительно не должны создавать проблемы при репликации (если создают - глупый опенлдап:)...

svu (17.10.2003 13:15:27)

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

svu, как ты уже достал своими слюнями! Шел бы ты нах дрочить в другой
уголок. Противно читать твою блевотину.

Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: Re: OpenLDAP 2.1.23

Блин, ну чего до мужика докопался-то? Ну спорол он хрень, ну признал это - чего тебе-то не спится?