[Uneex] Семинар
Nikita V. Youshchenko
uneex@cs.msu.su
Mon, 29 Sep 2003 23:46:12 +0400
В общем так.
Пора обнародовать то, о чём говорилось на организационном собрании
семинара 2 недели назад.
Семинар нужен, и поэтому будет.
Имеется желание, чтобы деятельность семинара имела какую-то внешнюю по
отношению к нам отдачу. Поэтому было предложено как минимум сделать web
страничку, на которой будет написано, кто мы такие и как нас найти, и
будут помещаться анонсы будущих событий и возможно материалы прошедших.
Когда страничка с материалом будет, было предложение где-то обнародовать
её адрес. ЛОР кадется таки перегибом, но более конструктивные места вроде
debian-russian и аналогичных рассылок других дистрибутивов - вполне
годятся.
Краткий текст на тему "кто мы такие" Гоша кинул в рассылку 12 дней назад.
Уважаемый Миша Мацнев обещал сделать страничку http://uneex.cs.msu.su/.
Прошло 12 дней. Странички на сейчас, 29 Sep 2003 23:28:41 +0400, нет -
точнее, она есть, но на ней красуется единственное слово UNИX. А после
появления материала прошло 12 дней.
Миша! Убедительная просьба либо не давать обещаний, либо выполнять их!
(Или "моё слово, хочу - дал, хочу - обратно взял"?)
Также шла речь про аудиозапись семинаров - в прошлом был позитивный опыт.
Вышеупомянутый Миша обещал выяснить вопрос с микрофоном. Прогресс с этим
мне неизвестен, предположения самые пессимистические.
Дата первого семинара не назначается до возвращения Гоши.
А вот тема назначена - будет ещё одна итерация разговора про LDAP.
Роль "докладчиков" будет у меня и у Игоря Муратова из AltLinux.
Приблизительный план разговора таков:
1. Зачем всё это нужно:
- единое пространство пользователей на все машины, без передачи по сети
паролей открытым текстом
- хранение в одном месте и юниксовых, и самбовских пользователей;
- возможность привязки к аккаунтам любой дополнительной информации
2. ПРОСТО о том, что такое LDAP и с чем его едят. Только на понятийном
уровне.
- на LDAP сервере хранится множество объектов
- объект - набор пар "имя поля" - "значение поля"
- уникальный идентификатор объекта (dn)
- objectClass и схема
- LDIF
3. Как в LDAP представляется информация об аккаунтах (posixAccount,
posixGroup, sambaSamAccount)
4. Что надо, чтобы заработали LDAP-овские аккаунты - на понятийном уровне
- LDAP сервер
- libnss_ldap, nsswitch
- libpam_ldap, /etc/pam.d/*
- nscd
- migrationtools
5. Более детальный уровень, как всё это делается
- slapcat/slapadd, ldapsearch, ldapadd/ldapmodify, какие-то более
высокоуровневые инструменты (я пока ни одного не смотрел).
- как пустить всё через SSL
- разграничение прав доступа в LDAP; simple auth и SASL (на уровне
упоминания)
- специальные атрибуты (userPassword, createTimestamp, и т.п.)
- индексы
- бакенды
6. Использование LDAP для разных целей
- bind9
- dhcp
- samba
- http
- squid
- ftp
- ... прочие сервисы (в т.ч. привязка к аккаунтам дополнительной
информации)
- настройка postfix для работы с LDAP
- pop3/imap/ и т.п. сервисы
- адресная книга в почтовых клиентах
7. Описание реального примера корпоративной сети на базе LDAP. Полученые
выгоды и возникшие проблемы. Сравнение с MS Active Directory
Несколько ссылок по теме:
Список RFC, связанных с LDAP:
http://freealter.org/doc_distrib/perl-5.00502/modules/perl-ldap-0.19/lib/Net/LDAP/RFC.html
OpenLDAP administration guide:
http://www.openldap.org/doc/admin21/
Я всё настраивал, в основном пользуясь этим:
http://www.metaconsultancy.com/whitepapers/ldap.htm
http://www.metaconsultancy.com/whitepapers/ldap-linux.htm
Ещё один обзор, как всё настроить (немного спорный, но зато очень
подробный)
http://homex.subnet.at/~max/ldap/index.php
Предложения по дополнению плана (и списка литературы) принимаются.
Есть предположение, что за один раз мы не уложимся. Что ж, пусть
растянется на несколько раз. Ничего плохого в этом не вижу.
Предложения (конкретные!) про следующие темы принимаются. Возможно, пора
начинать готовиться.
Никита