[Uneex] Семинар

Nikita V. Youshchenko uneex@cs.msu.su
Mon, 29 Sep 2003 23:46:12 +0400


В общем так.

Пора обнародовать то, о чём говорилось на организационном собрании 
семинара 2 недели назад.

Семинар нужен, и поэтому будет.

Имеется желание, чтобы деятельность семинара имела какую-то внешнюю по 
отношению к нам отдачу. Поэтому было предложено как минимум сделать web 
страничку, на которой будет написано, кто мы такие и как нас найти, и 
будут помещаться анонсы будущих событий и возможно материалы прошедших.
Когда страничка с материалом будет, было предложение где-то обнародовать 
её адрес. ЛОР кадется таки перегибом, но более конструктивные места вроде 
debian-russian и аналогичных рассылок других дистрибутивов - вполне 
годятся.

Краткий текст на тему "кто мы такие" Гоша кинул в рассылку 12 дней назад. 
Уважаемый Миша Мацнев обещал сделать страничку http://uneex.cs.msu.su/. 
Прошло 12 дней. Странички на сейчас, 29 Sep 2003 23:28:41 +0400, нет - 
точнее, она есть, но на ней красуется единственное слово UNИX. А после 
появления материала прошло 12 дней.
Миша! Убедительная просьба либо не давать обещаний, либо выполнять их!
(Или "моё слово, хочу - дал, хочу - обратно взял"?)

Также шла речь про аудиозапись семинаров - в прошлом был позитивный опыт.
Вышеупомянутый Миша обещал выяснить вопрос с микрофоном. Прогресс с этим 
мне неизвестен, предположения самые пессимистические.

Дата первого семинара не назначается до возвращения Гоши.
А вот тема назначена - будет ещё одна итерация разговора про LDAP.
Роль "докладчиков" будет у меня и у Игоря Муратова из AltLinux.
Приблизительный план разговора таков:

 1. Зачем всё это нужно:
  - единое пространство пользователей на все машины, без передачи по сети 
паролей открытым текстом
  - хранение в одном месте и юниксовых, и самбовских пользователей;
  - возможность привязки к аккаунтам любой дополнительной информации

2. ПРОСТО о том, что такое LDAP и с чем его едят. Только на понятийном 
уровне. 
  - на LDAP сервере хранится множество объектов
  - объект - набор пар "имя поля" - "значение поля"
  - уникальный идентификатор объекта (dn)
  - objectClass и схема
  - LDIF

3. Как в LDAP представляется информация об аккаунтах (posixAccount, 
posixGroup, sambaSamAccount)

4. Что надо, чтобы заработали LDAP-овские аккаунты - на понятийном уровне
  - LDAP сервер
  - libnss_ldap, nsswitch
  - libpam_ldap, /etc/pam.d/*
  - nscd
  - migrationtools

5. Более детальный уровень, как всё это делается
  - slapcat/slapadd, ldapsearch, ldapadd/ldapmodify, какие-то более 
высокоуровневые инструменты (я пока ни одного не смотрел).
  - как пустить всё через SSL
  - разграничение прав доступа в LDAP; simple auth и SASL (на уровне 
упоминания)
  - специальные атрибуты (userPassword, createTimestamp, и т.п.)
  - индексы
  - бакенды

6. Использование LDAP для разных целей
  - bind9
  - dhcp
  - samba
  - http
  - squid
  - ftp
  - ... прочие сервисы (в т.ч. привязка к аккаунтам дополнительной 
информации)
  - настройка postfix для работы с LDAP
  - pop3/imap/ и т.п. сервисы
  - адресная книга в почтовых клиентах

7. Описание реального примера корпоративной сети на базе LDAP. Полученые 
выгоды и возникшие проблемы. Сравнение с MS Active Directory

Несколько ссылок по теме:

Список RFC, связанных с LDAP:
http://freealter.org/doc_distrib/perl-5.00502/modules/perl-ldap-0.19/lib/Net/LDAP/RFC.html

OpenLDAP administration guide:
http://www.openldap.org/doc/admin21/

Я всё настраивал, в основном пользуясь этим:
http://www.metaconsultancy.com/whitepapers/ldap.htm
http://www.metaconsultancy.com/whitepapers/ldap-linux.htm

Ещё один обзор, как всё настроить (немного спорный, но зато очень 
подробный)
http://homex.subnet.at/~max/ldap/index.php

Предложения по дополнению плана (и списка литературы) принимаются.

Есть предположение, что за один раз мы не уложимся. Что ж, пусть 
растянется на несколько раз. Ничего плохого в этом не вижу.

Предложения (конкретные!) про следующие темы принимаются. Возможно, пора 
начинать готовиться.

Никита