Выбор реализации LDAP

я настраивал по этой статье (или примерно такой) в свое время.
https://www.opennet.ru/base/net/openldap.txt.html

Только это будет работать не только для SSH, но и входа любым другим способом.

Из минусов LDAP: если сервер не работает, то приходится долго ждать, пока по таймауту коннекции отвалятся и поиск пойдет по локальной БД пользователей/групп/hosts.
По идее есть тонкие настройки-фильтры (типа кого искать локально, а кого на LDAP сервере) и всякие кеширующие локальные серверы (sssd, nscd). Но первые мне так и не удалось настроить, чтобы совсем исключить внешние запросы, а вторые портят жизнь кэшом (типа на LDAP сервере пользователь уже в группе, а в кеше еще нет).

389 Directory Server

Samba в роли Active Directory, не?

скорее надо выбирать исходя из свой инфраструктуры.
- Если чистый базис и всё с нуля - то openldap
- Если минимум своего вмешательства и уже предусмотренные предустановки - то можно 389 Directory Server/FreeIPA
- Если много windows - то оптимальнее samba4

Ага. Например, FreeIPA чудесно взлетает в среде с RHEL и клонами, так как официально допиливается Red Hat под это.

Какая наиболее проста в настройке?

http://togusak.ddnss.de/server/index.html

:-)))

скорее надо выбирать исходя из свой инфраструктуры.

• Если чистый базис и всё с нуля - то openldap
• Если минимум своего вмешательства и уже предусмотренные >предустановки - то можно 389 Directory Server/FreeIPA
• Если много windows - то оптимальнее samba4

Короче, их всего 3?

Сейчас пытаюсь осилить openldap - довольно сложная в администрировании штука. В нём, чтобы создать юзера нужно сначала вычислить sha1-хэш пароля, затем создать ldif-файл, в который прописать в том числе пароль, а затем уже добавить юзера командой:

ldapadd -x -D cn=admin,dc=testdomain,dc=local -W -f user.ldif

389 Directory Server - это какая-то штука для коммерческих дистрибутивов типа RHEL, на основе которой созданы службы каталогов для отечественных коммерческих дистрибутивов, типа Альт Домен для AltLinux и Атом.ДОМЕН для Росы?

openldap — это одна из реализаций LDAP. Использовать его без системы управление — это примерно как писать посты на форум при помощи SQL.

Поставь, например, FreeIPA — это готовый продукт.

Это совершенно необязательно делать вручную.
См. эту тему например Альтернатива LDAP Account Manager

Короче, их всего 3?

Их гораздо больше, см. https://ldap.com/directory-servers/
Но достаточно большая часть из них(свободно-бесплатных) - это обвязки поверх openldap. В крупных коммерческих свои реализации серверов, а не обвязки(oracle,IBM,Microsoft,...)

Спасибо за наводку, сутки общения с Deepseek и я разобрался как поднять slapd и подружить его с ldap-account-manager, чтобы юзеров и группы можно было создавать из интерфейса. Теперь следующий шаг как подружить это всё с sshd, тут как я понимаю тоже не единственная методика: можно через gssapi, можно через kerberos. А ещё нужно иметь возможность просматривать список юзеров без ввода админского пароля.

нужно иметь возможность просматривать список юзеров без ввода админского пароля.

getent passwd

getent passwd | grep bash

Теперь следующий шаг как подружить это всё с sshd, тут как я понимаю тоже не единственная методика:

kerberos я не настраивал.
Настроил pam_ldap и nss_ldap как написанов с статье с опеннета. (абзац «После этого можно включить в файлы /etc/pam.d ...»).
После этого идентификация и парольная аутентификация работает в т.ч. через LDAP (+ локальные пользователи), не зависимо от способа входа (локальный/ssh/NFS и т.д.)

А ещё нужно иметь возможность просматривать список юзеров без ввода админского пароля.

Это настраивается в конфигах LDAP сервера. См. пример из статьи:

access to *
                by dn="uid=root,dc=test,dc=ru" write
                by * read 
        # Доступ к остальным полям базы LDAP - все могут читать атрибуты(кроме пароля,
        # так как запрет имеет более высокий приоритет), а пользователь с контекстом
        # root может писать всё что угодно (а кто ж ему помешает :)

P.S. для других LDAP серверов порядок может настройки может быть иным

Плюсую FreeIPA, вижу его много лет в продакшене. Отлично надежно работает, мордочка удобная.

я настраивал по этой статье (или примерно такой) в свое время. https://www.opennet.ru/base/net/openldap.txt.html

Этой статье уже 20 лет!!!

Date: Mon, 5 Dec 2005 14:31:37 +0000 (UTC)

В IT-технологиях 5 лет - уже вечность!

… и правильно - «в свое время»!

Atlant 100% прав.

• 389 Directory Server/FreeIPA
• Если много windows - то оптимальнее samba4

:-)))

Короче, их всего 3?

Был ещё reopen ldap

389-ds и FreeIPA - это 2 названия одного продукта или один входит в состав второго? Как сами пакеты называются скажем в Ubuntu?

Этой статье уже 20 лет!!!

я настраивал наверное 15 лет назад, и с тех пор почти ничего не менял, т.е. статья вполне актуальна.

389 Directory Server/FreeIPA
Если много windows - то оптимальнее samba4

мне нужно было простое (KISS) решение формата locahost/SOHO без интеграции с MS AD. В первую очередь для сетевых пользовательских учеток. Но kerberos я так и не настроил, т.е. без SSO.

Вообще LDAP-сервера это отличная штука. Можно централизовано хранить почти любые данные (например DNS записи) и интегрировать с самым разным софтом. Этакий сервер конфигурации с продвинутыми GUI редакторами и репликацией из коробки (хотя бы master-slave).

Ты уже научился самостоятельно пользоваться, скажем, ложкой?

по ssh в LDAP

рукалицо.

ну и остальное от аффтыря. Селфи он научился делать. 15+ лет рега…

Ты уже научился самостоятельно пользоваться, скажем, ложкой?

Обувной или едальной? Серьезная разница в скиллах, знаеш ли!

Музыкальными :)