https://www.opennet.ru/openforum/vsluhforumID3/40665.html Говард Чу - главный архитектор проекта OpenLDAP (http://www.openldap.org) и его основного корпоративного спонсора Symas Corporation. OpenLDAP - это свободная (и с открытым исходным кодом) реализация протокола LDAP, обеспечивающего общие адресные книги, единую аутентификацию, автоматическое подключение домашних каталогов и совместный доступ к файлам для клиентов, работающих под управлением ОС Linux, Unix, Mac и Windows.<br><br><br>Вопрос: Не могли бы вы немного рассказать о своей работе, проекте OpenLDAP и его отношениях с Symas?<br><br><br>Ответ: Что же, как главный архитектор проекта OpenLDAP я принимаю решения о том, что следует включать в код, а что - нет. По большей части разработчики сообщества OpenLDAP работают над тем, что выберут сами.<br><br>Я внес свой первый вклад в OpenLDAP в 1998 году и вскоре после этого был приглашен в основную команду разработчиков. Под руководством Курта Зейленга (Kurt Zeilenga) бОльшая часть ранней разработки OpenLDAP была сфокусирована на устранении проблем, связанных с переносимостью и реализа https://www.opennet.ru/openforum/vsluhforumID3/40665.html#56 Tue, 18 Mar 2008 09:10:58 GMT Всем ответившим спасибо, сохраняю топик и буду копать тему глубже.<br> https://www.opennet.ru/openforum/vsluhforumID3/40665.html#55 Tue, 18 Mar 2008 04:51:20 GMT &gt;Тебе тогда надо поднять домен на самбе с аутентификацией на LDAP сервере. <br>&gt;Диски с домашними директориями будут монтироваться по SMB с соответствующими правами. <br>&gt;Это делает logon скрипт. Обязательно ознакомься с документацией по самбе. <br><br>Дык тогда придётся пароли светить. Либо вводить лишний раз.<br> https://www.opennet.ru/openforum/vsluhforumID3/40665.html#54 Tue, 18 Mar 2008 04:45:28 GMT &gt;Возможно и не прав, но судя по этой страничке на их оф <br>&gt;сайте, всё же прав http://mds.mandriva.org/ прочтите там же новости, о том, <br>&gt;что Mandriva покупает Linbox и её Linbox Directory Server, а ещё <br>&gt;переименовывает его в Mandriva Directory Server, да и Linbox Directory Server <br>&gt;раньше был закрытым продуктом, значит он к OpenLDAP не имеет не <br>&gt;какого отношения, посему, если сейчас они взяли OpenLDAP за основу, то <br>&gt;может быть...:) <br><br>Гм. Действительно Вы правы.<br>Самое интересное, что тут http://www.linbox.com/ucome.rvt/any/en/Produits/ нет никаких упоминаний о LDS. Но факт остаётся фактом, что MDS функционирует на OpenLDAP. Я его ставил версии 2.1 и юзал он именно OpenLDAP, а Linbox Directory Server просто название для надстройки для удобного управления OpenLDAP'ом, равно как и нынешний Mandriva Directory Server.<br>P.S. Напоминания нашлись на linbox.org<br> https://www.opennet.ru/openforum/vsluhforumID3/40665.html#53 Tue, 18 Mar 2008 04:36:52 GMT &gt;Аутенфикация - это процесс, при котором вы подтверждаете себя. Авторизация - это <br>&gt;процесс, подтверждающий использование ресурсов на основании вашей аутенфикации. Вы можете быть <br>&gt;залогинены(аутенфицированы), но не авторизованы использовать файл/директорию с помощью прав доступа. Так <br>&gt;что единая авторизация есть. Только средства доступа к ней, читай аутенфикация, <br>&gt;различны, что есть хорошо.<br><br>Спасибо конечно, но чем они друг от друга отличаются я знаю.<br>Мне кажется Вы не совсем правы. Дело в том, что я могу делать - определяет далеко не лдап. Как Вы правильно написали он (лдап) только выдаёт уид, гид, хоум... А что мне можно и чего нельзя определяет ядро и политики вроде SELinux'а (RBAC, etc) опираясь на свои законы и оперируя тем, что мне принадлежит конкретный уид и исходя из этого разрешает или нет мне что-то делать.<br>Смотря что понимать конечно под единой авторизацией, можно конечно по-разному трактовать. Но для большинства, я думаю, единая авторизация, это когда ты залогинился и ломишься на какой- https://www.opennet.ru/openforum/vsluhforumID3/40665.html#52 Tue, 18 Mar 2008 04:34:43 GMT По-моему Вы не правы. Насколько мне не изменяет память - MDS - открытый продукт. Только его поддержка будет стоить денег. Юзает он OpenLDAP и это точно, поставьте и убедитесь, что он просто добавляет схему свои и свою морду предоставляет. А Linbox был куплен вместе с его продуктами Linbox Rescue Server и никакого отношения к директориям сия прога не имеет - это что-то для централизованного управления серверами, надо полагать (хотя тут могу ошибаться, т.к. ещё не успел посчупать).<br><br>Возможно и не прав, но судя по этой страничке на их оф сайте, всё же прав http://mds.mandriva.org/ прочтите там же новости, о том, что Mandriva покупает Linbox и её Linbox Directory Server, а ещё переименовывает его в Mandriva Directory Server, да и Linbox Directory Server раньше был закрытым продуктом, значит он к OpenLDAP не имеет не какого отношения, посему, если сейчас они взяли OpenLDAP за основу, то может быть...:)<br> https://www.opennet.ru/openforum/vsluhforumID3/40665.html#51 Tue, 18 Mar 2008 03:53:28 GMT &gt;[оверквотинг удален]<br>&gt;&gt;подключение домашних каталогов и совместный доступ к файлам для клиентов, работающих <br>&gt;<br>&gt;Так, так. А вот тут поподробней. Каким же замечательным макаром OpenLDAP позволяет автоматом подключать домашние каталоги?? Раз так написано =&gt; подразумевается, что они могут монтироваться с удалённого файл-сервера. Верно?? Какое к этому имеет отношение OpenLDAP, кроме тупой раздачи хоума??<br>&gt;Если есть замена pam_mount - просвятите пожалуйста. <br>&gt;Наверно тут также как и про "единую аутентификацию" - просто единое хранилище, <br>&gt;а чтобы сделать хотя бы централизованную авторизацию уже нужно выходить за <br>&gt;рамки OpenLDAP'а и трахетси с памом, а вот сделать именно "единую <br>&gt;авторизацию" надо полагать вообще в данный момент под линуксом невозможно, ибо <br>&gt;общая "керберезированность" пока что низкая. Буду рад пообщаться по существу на <br>&gt;данную тему. <br><br>Вы совершенно правы, openLDAP не монтирует диски. Это вообще из другой области. Он содержит информацию о пользователях и группах и пр. перечисленно https://www.opennet.ru/openforum/vsluhforumID3/40665.html#50 Tue, 18 Mar 2008 03:30:35 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;При этом /home/user можно не создавать.<br>&gt;&gt;&gt;&gt;В чем проблема ?<br>&gt;&gt;<br>&gt;&gt;Конкретизирую вопрос: мне действительно не придется создавать руками учетки на клиентских машинах, <br>&gt;&gt;при использовании свободных реализаций LDAP? Конкретно, при использовании OpenLDAP или FDS? <br>&gt;&gt;<br>&gt;&gt;учетки на клиентских машинах, <br>&gt;<br>&gt;это вообще что такое? $HOME? если воспользуетесь pam_mkhomedir то $HOME создаться при <br>&gt;первом логине. <br><br>Нет, это просто учётные записи или пользователи. Похоже в вопросе смешиваются две различные схемы аутенфикации. Вопрос звучит следующим образом: в случае использования openLDAP есть ли необходимость создавать локальные учётные записи? Ответ: нет, это не обязательно, но желательно иметь локальную учётную запись для root (Linux-клиент) и Administrator (Windows-клиент). А ещё лучше иметь кешированную локальную базу данных с LDAP сервера. Это на случай если LDAP сервер по какой-либо причине будет недоступен. Windows это делает автоматически, а в Linux это надо указать явно. В п https://www.opennet.ru/openforum/vsluhforumID3/40665.html#49 Tue, 18 Mar 2008 03:11:35 GMT &gt;&gt;&gt;Ничего не понял !<br>&gt;&gt;&gt;Учетные записи создаются в ldap-каталоге<br>&gt;&gt;&gt;При этом /home/user можно не создавать.<br>&gt;&gt;&gt;В чем проблема ?<br>&gt;<br>&gt;Конкретизирую вопрос: мне действительно не придется создавать руками учетки на клиентских машинах, <br>&gt;при использовании свободных реализаций LDAP? Конкретно, при использовании OpenLDAP или FDS? <br>&gt;<br><br>Придёться, но только один раз в обоих случаях. Как показывает опыт может и несколько раз если раньше вы этого не делали. Как минимум вы должны зарегистрировать клиентскую машину в домене, как минимум вам придёться ввести имя лица, его контактную информацию, имя менеджера, название отдела и т.д.<br> https://www.opennet.ru/openforum/vsluhforumID3/40665.html#48 Tue, 18 Mar 2008 02:46:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt;первом логине. <br>&gt;<br>&gt;А чем мне воспользоваться, что бы домашний каталог с соответсвующими локальными правами <br>&gt;создался на маздайной машине? <br>&gt;Смысл такой: мне нужно решение, позволяющее при наличии учетной записи в ldap-каталоге <br>&gt;<br>&gt;безболезненно регистрироваться под этой учеткой на любой машине - члене контроллера домена, <br>&gt;без необходимости каких-либо предварительных манипуляций на этой машине. Тупо введя логин <br>&gt;и пароль на этой машине. С маздайными тачками и AD это <br>&gt;проканывает. Нужен аналогичный функционал, реализованный свободными продуктами. Что непонятного-то? <br><br>Тебе тогда надо поднять домен на самбе с аутентификацией на LDAP сервере. Диски с домашними директориями будут монтироваться по SMB с соответствующими правами. Это делает logon скрипт. Обязательно ознакомься с документацией по самбе.<br>