Вышел OpenLDAP 2.4.17

а вас где научили так новости писать? вот ниочем же, а сколько букв всяких...

> а вас где научили так новости писать? вот ниочем же, а сколько букв всяких...

Судя по тону новости, автору чем-то очень насолил OpenLDAP либо его разработчики

Да нормальная новость. Извращенцы.

нет, новость оформлен в стиле "так и шо это у нас там такое"...
Афтор, выбрось бутылку, протрезвей и всё тут перепиши :)

нормальная новость, видно что автор в теме.

>сделать из вашего LDAP-каталога подобие "Матрицы"

Новости на ЛОРе - одна страшней другой. :)

Нормальная новость. Не вижу каких-либо подвохов.

Обожаю ldap с тех пор, как его таки осилил. :)

>Обожаю ldap с тех пор, как его таки осилил. :)

И всётаки /etc/passwd лучше.

Автор мог бы и нормально написать, аналогия между slapo-rwm и матрицей шедевральна. "расширилась и углубилась" мега-API о которой нам уже никогда не забыть - тоже.

Новость должна быть информативной.

>И всётаки /etc/passwd лучше.

Не-е-е-е...

LDAP в связке с Samba и PAM позволяет создать единую базу пользователей в гетерогенной сети для всех служб, что очень облегчает жизнь админа!

:-)

Так из новости все понятно. Сидел афтар и бухал с друзьями. И вдруг свалилось на почту новое счастье. Так сразу и запостил новость не переводя духа. :)

Фтопку, FDS - наше фсе

как бы уже давно нету FDS то ... есть 389DS если что ;)

Ну не важно. Есть еще CentosDS:))

В FreeBSD в портах еще нет

>И всётаки /etc/passwd лучше.

сравнил детородный орган с пальцем :)

> И всётаки /etc/passwd лучше.

Ложь, троллизм, девственность.

> LDAP в связке с Samba и PAM позволяет создать единую базу пользователей в гетерогенной сети для всех служб, что очень облегчает жизнь админа!

А если приляпать ещё и NFS4+kerberos+autofs+ntp, то будет не только единая база пользователей, но и перемещаемые профили с удобной сетевой сшивкой и прозрачной авторизацией на всех рессурсах с разделением прав.

>Обожаю ldap с тех пор, как его таки осилил. :) +10000000!

>>И всётаки /etc/passwd лучше.

> Не-е-е-е...

> LDAP в связке с Samba и PAM позволяет создать единую базу пользователей в гетерогенной сети для всех служб, что очень облегчает жизнь админа!

вот почему только из каропки этого не сделано?

Проверено: maxcom (*) 14.07.2009 22:12:57 Шаман перелогитесь.

> LDAP в связке с Samba и PAM позволяет создать единую базу пользователей в гетерогенной сети для всех служб, что очень облегчает жизнь админа!

> А если приляпать ещё и NFS4+kerberos+autofs+ntp, то будет не только единая база пользователей, но и перемещаемые профили с удобной сетевой сшивкой и прозрачной авторизацией на всех рессурсах с разделением прав.

а поподробнее можно?

>> LDAP в связке с Samba и PAM позволяет создать единую базу пользователей в гетерогенной сети для всех служб, что очень облегчает жизнь админа!

>вот почему только из каропки этого не сделано?

Не сделано что? Ldap серверов обычно нужно меньше чем коробок. А если один localhost то ldap c треском сливает /etc/passwd. Кому надо тот включит.

PS: ldap без kerberos уныл.

> а поподробнее можно?

С чего именно начинать?

>>> LDAP в связке с Samba и PAM позволяет создать единую базу пользователей в гетерогенной сети для всех служб, что очень облегчает жизнь админа!

>>вот почему только из каропки этого не сделано?

>Не сделано что? Ldap серверов обычно нужно меньше чем коробок. А если один localhost то ldap c треском сливает /etc/passwd. Кому надо тот включит.

>PS: ldap без kerberos уныл.

как получить из-каропки ldap + samba + PAM + email (SMTP&IMAP) + ... ?

даже одиночный localhost с ldap удобнее чем с /etc/passwd & samba passwords & http passwords & прочая лапша.

> как получить из-каропки ldap + samba + PAM + email (SMTP&IMAP) + ... ?

Неожиданное предложение... Возьмите Calculate Linux :) Ещё альты делали изкоробочную интеграцию в школьном сервере и ещё есть довесок к RHEL/CentOS, который умеет это делать, но забыл как называется, здесь в новостях про него писали.
А не хотите, ну тогда маны, доки, гугли, ручная работа.

>как получить из-каропки ldap + samba + PAM + email (SMTP&IMAP) + ... ?

Примерно так:

http://gennadi.dyndns.org/72.html

:-)

>> как получить из-каропки ldap + samba + PAM + email (SMTP&IMAP) + ... ?

> Неожиданное предложение... Возьмите Calculate Linux :) Ещё альты делали изкоробочную интеграцию в школьном сервере и ещё есть довесок к RHEL/CentOS, который умеет это делать, но забыл как называется, здесь в новостях про него писали. > А не хотите, ну тогда маны, доки, гугли, ручная работа.

довесок к RHEL - FreeIPA. буквально сегодня по их сайту ходил... но они еще в процессе разработкиб функционал требуемый для SOHO еще не реализован.

Calculate Linux ... ХЗ по мне gentoo в продакшен ставить решение очень спорное.

Для Ubuntu есть eBox, но оно во многих местах глючное. Сами убунтологи говорят о DIT, но саму фичу не делают - походу ресурсов им на это не хватает.

А так получается или Ubuntu + eBox + ручная правка конфигов (правда совсем мало). Но это решение не подходит как замена MS AD в нашей компании. А значит придется ждать Ubuntu&DIT или RHEL&FreeIPA.

PS нужно глянуть на Alt server.

>> как получить из-каропки ldap + samba + PAM + email (SMTP&IMAP) + ... ?

> Примерно так:

> http://gennadi.dyndns.org/72.html

интересно. а это тупо скрипты от root или есть некий GUI?

...это тупо скрипты от root.

:-)

>даже одиночный localhost с ldap удобнее чем с /etc/passwd & samba passwords & http passwords & прочая лапша.

Ужасная нелепость. Если хочется общего пароля в samba и на удалённый доступ - всё решаемо с помощью PAM. Иметь те же учётные записи в http/ftp не безопасно настолько, что лучше этого никогда не делать.

К тому же у тебя непонимание различий аутентификации и авторизации. ldap это авторизация, назначение пользователю домашней директории, групп, прав итп. Ты же сейчас говоришь про аутентификацию, а это скорее kerberos а не ldap. kerberos имеет смысл на localhost, а ldap нет ))

>> даже одиночный localhost с ldap удобнее чем с /etc/passwd & samba passwords & http passwords & прочая лапша.

> Ужасная нелепость. Если хочется общего пароля в samba и на удалённый доступ - всё решаемо с помощью PAM. Иметь те же учётные записи в http/ftp не безопасно настолько, что лучше этого никогда не делать.

мне от сервера нужна общая база пользователей для apache & tomcat & SVN & FTP & samba & ssh & e-mail.

возможно что ssh будет иметь других пользователей, потому общая база создается только для не-локальной работы. Потому мне не понятно а что не безопасного иметь одинаковые login / pass для sambe & FTP?

>мне от сервера нужна общая база пользователей для apache & tomcat & SVN & FTP & samba & ssh & e-mail.

Для этого не нужен ldap. Он ничем не лучше любого локального
хранилища. Даже хуже, тем что светит открытые пароли.
ssh может использовать pam
samba может использовать pam
email исользует sasl который может использовать pam
svn использует аутентификацию http или ssh (а кто делает иначе - дурак)
ftp использует pam

В итоге, делаешь акаунты, хоть в текстовом файле хоть в какой либо субд.
apache модулями авторизует, и настраиваешь на это же хранилище pam.
Всё ))

А если сделаешь kerberos то не надо будет вводить один и тот же
пароль при каждом доступе к ресурсу.

Теперь вопрос - зачем нужен ldap?

> Теперь вопрос - зачем нужен ldap?

как я понимаю PAM хранят только информацию о пароле. А настройки пользователя? а доп.параметры для работы того или иного сервиса где хранить?

даже если закрутить все на PAM все равно придется доп.информацию раскидывать по конфигам. иначе КАК mail система узнает что юзер pupkin получает почту для root@my.company.com и megaAdmin@my.company.com?

Дальше как сделать несколько серверов с одинаковой базой пользователей? репликация LDAP спасает.

>КАК mail система узнает что юзер pupkin получает почту для root@my.company.com и megaAdmin@my.company.com?

Из настроек. ldap ничем не лучше файла или субд или любого другого хранилища.

>Дальше как сделать несколько серверов с одинаковой базой пользователей?

Надо сделать базу пользователей на нескольких серверах одинаковой. Как это делается - зависит от базы. То есть про localhost сомнений в ненужности ldap не осталось? Ну хоть это хорошо ))

>репликация LDAP спасает.

Ввернул умное слово не понимая его смысла? Иди книжки читай что такое репликация ldap и зачем она нужна ))

> ldap ... светит открытые пароли

8-0 В каком месте?

>> ldap ... светит открытые пароли
> 8-0 В каком месте?

Если тебе нужна возможность чтобы пользователи могли менять себе пароли сами, то иначе как засветить в /etc/{pam_ldap,libnss_ldap}.secret в открытом виде пароль rootbinddn не выйдет.
А так, в общем-то, можно обойтись и анонимным доступом.

> Если тебе нужна возможность чтобы пользователи могли менять себе пароли сами, то иначе как засветить в /etc/{pam_ldap,libnss_ldap}.secret в открытом виде пароль rootbinddn не выйдет.

Можно же сделать отдельный bind dn, которому дать права только на изменение пользовательских паролей, нет?

> Можно же сделать отдельный bind dn, которому дать права только на изменение пользовательских паролей, нет?

Да, но только менять эти пользовательские пароли сможет только root.