[Uneex] Семинар UNИX. Тема: LDAP+

Yuri Ryazantsev yuri на unix.ru
Чт Окт 23 16:49:47 MSD 2003 

Nikita V. Youshchenko wrote:
>>Предлагаю еще темы по LDAP, которые тоже могут затронуть многие
>>интересы:
>>- реализации сервера и утилит на разных платформах
> 
> 
> Возможно, связанное с этим:
> - как заставить винду аутентифицироваться непосредственно на LDAP сервере 
> (т.е. без самбы и вытекающей из неё двойственности паролей). Я слышал, что 
> это возможно, но не знаю подробностей.
> 
> К слову, в связи с этим, и в свете разговоров о построении корпоративной 
> сети,  вспомнилось старое утверждение Володи Иванова о "простоте" решения 
> этой задачи под старшими виндами, и "сложности" в unix.
> Может, имеет смысл более подробно поговорить про это? Наверняка у нас есть 
> люди, способные показать, что осмысленного есть в виндовой сети, и мы бы 
> на семинаре посмотрели, какие аналоги есть (или нет) в современном юниксе.

Нельзя подходить к решению задачи одним инструментом. Идея 
"давайте все делать под Unux" также губительна, как и "давайте все 
делать под Win". Именно поэтому сравнивается решение данной задачи 
на отдельной платформе и возможность интеграции этого решения с 
другими окружениями. При этом необходимо помнить, что на столах в 
офисах стоит 95% Windows-систем. Сервера под Интернет-технологии - 
50/50 (не бросайте в меня камни, но Intranet в компаниях за 
рубежом - чаще Windows). Поэтому и  интересует масса вопросов по 
совместной работе нескольких решений.

Вот вопросы по теме:

1. С авторизацией под Windows через Samba мне приблизительно 
понятно. А вот как насчет ACL для пользователей под Windows. Где 
это должно лежать и как интегрироваться. Например, как и где 
сказать - может или нет пользователь  создавать shared ресурсы, 
или запускать сервисы.

2. Есть программы, использующие внутри данные, отдаваемые в LDAP 
виде. Например - Lotus Notes, Active Directory, Novell NDS. Как 
совместить с ними данное решение. И совместимо ли оно. Ведь работа 
в офисе, это не только отправить почту в Outlook Express.

3. Можно ли использовать клиентов и библиотеки от других 
производителей (например Netscape/iPlanet) использовать с OpenLDAP 
и наоборот. И какие здесь могут быть "подводные камни".

>>- программирование пользовательских приложений для работы с LDAP
> 
> 
> А конкретнее, про что именно тут говорить? Чтобы не выкатиться на 
> обсуждение API?
> (я действительно не понимаю, может из-за того что сам это не 
> программировал)

LDAP имеет смысл использовать, когда у Вас реально есть множество 
пользователей (1-5 пользователей и руками отследить ничего не 
стоит). Так эта "куча" не в один же день пришла. Возникает вопрос 
с миграцией. Как изобрести "новый велосипед"? Какие примеры и подвохи?

Дальше. Вы все сделали и у Вас сервер работает и пользователи 
довольны. Но нужны инструменты для адекватного поддержания базы 
LDAP с нуждами реального дня. Например завести пользователя на 1 
день в пятницу вечером (приехал представитель другой компании в 
командировку). Можно сказать, что есть GQ и удалим. Но из-за этого 
приходить в субботу :-(((

Не зря некоторые пишут SQL интерфейсы для LDAP сервера (есть perl 
DBD:LDAP).

Думаете это неинтересные темы для обсуждения. Тем более, что когда 
собираются люди узнать для себя что-то новое, то наиболее 
вероятный "осадок" после этой встречи будут принципы, а не 
реальные команды. Команду man все равно потом набирать придется :-))

>>... SASL ...
> 
> 
> Идея правильная, но есть подозрение, что взять и рассказать никто не может. 
> Мы вроде как запланировали это на будущее. Я надеюсь, что где-нибудь к 
> декабрю смогу сделать сообщение на эту тему. Если меня опередят, буду 
> несказанно рад :)

Я напомнил, чтобы не забыли :-))

-- 

Yuri Ryazantsev <yuri на unix.ru>    | RIPE: YR1-RIPE
UNIX System Network Administrator | RIPN: YAR1-RIPN

Подробная информация о списке рассылки Uneex