[Uneex] Семинар UNИX. Тема: LDAP+
Yuri Ryazantsev
yuri на unix.ru
Чт Окт 23 16:49:47 MSD 2003
Nikita V. Youshchenko wrote:
>>Предлагаю еще темы по LDAP, которые тоже могут затронуть многие
>>интересы:
>>- реализации сервера и утилит на разных платформах
>
>
> Возможно, связанное с этим:
> - как заставить винду аутентифицироваться непосредственно на LDAP сервере
> (т.е. без самбы и вытекающей из неё двойственности паролей). Я слышал, что
> это возможно, но не знаю подробностей.
>
> К слову, в связи с этим, и в свете разговоров о построении корпоративной
> сети, вспомнилось старое утверждение Володи Иванова о "простоте" решения
> этой задачи под старшими виндами, и "сложности" в unix.
> Может, имеет смысл более подробно поговорить про это? Наверняка у нас есть
> люди, способные показать, что осмысленного есть в виндовой сети, и мы бы
> на семинаре посмотрели, какие аналоги есть (или нет) в современном юниксе.
Нельзя подходить к решению задачи одним инструментом. Идея
"давайте все делать под Unux" также губительна, как и "давайте все
делать под Win". Именно поэтому сравнивается решение данной задачи
на отдельной платформе и возможность интеграции этого решения с
другими окружениями. При этом необходимо помнить, что на столах в
офисах стоит 95% Windows-систем. Сервера под Интернет-технологии -
50/50 (не бросайте в меня камни, но Intranet в компаниях за
рубежом - чаще Windows). Поэтому и интересует масса вопросов по
совместной работе нескольких решений.
Вот вопросы по теме:
1. С авторизацией под Windows через Samba мне приблизительно
понятно. А вот как насчет ACL для пользователей под Windows. Где
это должно лежать и как интегрироваться. Например, как и где
сказать - может или нет пользователь создавать shared ресурсы,
или запускать сервисы.
2. Есть программы, использующие внутри данные, отдаваемые в LDAP
виде. Например - Lotus Notes, Active Directory, Novell NDS. Как
совместить с ними данное решение. И совместимо ли оно. Ведь работа
в офисе, это не только отправить почту в Outlook Express.
3. Можно ли использовать клиентов и библиотеки от других
производителей (например Netscape/iPlanet) использовать с OpenLDAP
и наоборот. И какие здесь могут быть "подводные камни".
>>- программирование пользовательских приложений для работы с LDAP
>
>
> А конкретнее, про что именно тут говорить? Чтобы не выкатиться на
> обсуждение API?
> (я действительно не понимаю, может из-за того что сам это не
> программировал)
LDAP имеет смысл использовать, когда у Вас реально есть множество
пользователей (1-5 пользователей и руками отследить ничего не
стоит). Так эта "куча" не в один же день пришла. Возникает вопрос
с миграцией. Как изобрести "новый велосипед"? Какие примеры и подвохи?
Дальше. Вы все сделали и у Вас сервер работает и пользователи
довольны. Но нужны инструменты для адекватного поддержания базы
LDAP с нуждами реального дня. Например завести пользователя на 1
день в пятницу вечером (приехал представитель другой компании в
командировку). Можно сказать, что есть GQ и удалим. Но из-за этого
приходить в субботу :-(((
Не зря некоторые пишут SQL интерфейсы для LDAP сервера (есть perl
DBD:LDAP).
Думаете это неинтересные темы для обсуждения. Тем более, что когда
собираются люди узнать для себя что-то новое, то наиболее
вероятный "осадок" после этой встречи будут принципы, а не
реальные команды. Команду man все равно потом набирать придется :-))
>>... SASL ...
>
>
> Идея правильная, но есть подозрение, что взять и рассказать никто не может.
> Мы вроде как запланировали это на будущее. Я надеюсь, что где-нибудь к
> декабрю смогу сделать сообщение на эту тему. Если меня опередят, буду
> несказанно рад :)
Я напомнил, чтобы не забыли :-))
--
Yuri Ryazantsev <yuri на unix.ru> | RIPE: YR1-RIPE
UNIX System Network Administrator | RIPN: YAR1-RIPN
Подробная информация о списке рассылки Uneex