- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Аноним, 22:17 , 08-Сен-22 (1) –10 [V]
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Аноним, 22:21 , 08-Сен-22 (2) +5
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 22:36 , 08-Сен-22 (3) +8 [^]
На autotools мухи сели симметрично, жалко сгонять ;)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, истина в последней инстанции, 23:44 , 09-Сен-22 (86) –1
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 23:48 , 09-Сен-22 (89)
> Не гони тупости. Нормально autotools работают. Не осилятарам там не место. Иди > в стоило к остальный iGoGo > Но CMake конечно получше.Хм, так вы считаете что мухи сели таки не симметрично? Пойду проверю... ;)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Аноним, 23:01 , 08-Сен-22 (4) –1
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Аноним, 23:04 , 08-Сен-22 (5) –4 [V]
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, abu, 01:26 , 09-Сен-22 (11) +4
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Ivan_83, 03:49 , 09-Сен-22 (14) –7 [V]
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, abu, 09:54 , 09-Сен-22 (48) +1
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, bOOster, 10:38 , 09-Сен-22 (57) +1
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, abu, 11:27 , 09-Сен-22 (70)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 11:39 , 09-Сен-22 (71) +2
> Я перед тем, как написать, прочитал такое: > Коротко говоря: AD - это база данных служб каталогов, а LDAP - > один из протоколов, которые вы можете использовать для общения с ней. > LDAP - это протокол, а Active Directory - это сервер.Не то чтобы врут, но искажают. Чуть раньше Novell взяла LDAP, напихала туда фичей и собственных велосипедов, а потом назвала "Novell Directory Service". В M$ испугались что "мопед не их", напихала туда-же еще большую кучу несовместимых велосипедов, придумали массу оголтелой виндовой специфики и назвали это Active Directory. Потом еще 20 лет латали, скрещивали с Kerberos, чинили и переделывали весь этот кошмар. Сейчас Active Directory снаружи выглядит неплохо (внутри лучше не смотреть), но уже всплыло более десятка дыр (захват домена, получение привилегий и т.п.) и только незнающий даст гарантию что там нет еще одного десятка... Упрощенно LDAP + маркетинг = Active Directory.
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, bOOster, 20:02 , 09-Сен-22 (81) +1
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Ivan_83, 01:26 , 10-Сен-22 (90) –3
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Аноним, 06:38 , 09-Сен-22 (23) –4 [V]
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Аноним, 03:23 , 09-Сен-22 (13) +4
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Ivan_83, 03:53 , 09-Сен-22 (15) –7 [V]
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Аноним, 05:00 , 09-Сен-22 (17) +4
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 09:29 , 09-Сен-22 (40) +2
> А что по вашему использует гуглаг, мордоркнига, трёппер, вкунтакте, мылосру и прочие? Ну так просветите нас неграмотных ;) > Никто DAP/LDAP не насилует, это история для малого бизнеса и то скорее > про то как сфейлится, ибо сидеть на венде и вот этом > всём можно в малых масштабах и то с трудом. Записав что-то на медленную usb-флешку вы пытаетесь сделать вывод, что "пара поводов" (aka LVDS и т.п.) это "история для малого бизнеса". > Что такое 10к записи и 50к чтения для фс или базы данных? > - обычная рутина, никакого подвига. Любопытно посмотреть как вы рутинно обеспечите 10K RPS с ACID в гео-распределенном кластере из 4 (2+2) узлов, на железе 10-летней давности ;)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Ivan_83, 01:54 , 10-Сен-22 (95)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 15:10 , 10-Сен-22 (106) +2
> Я накидал архитектуру, а масштабировать в/в и бд - задача админов, довольно типовая. > Железо 10 летней давности - опять же не моя проблема, а скорее манагемента компании. > Будет компания покупать новое железо или сношать мозги админам чтобы нагуглили правильные настройки - их выбор.Железо 10-лет ней давности ибо история началась ~10 лет назад, т.е. целевая платформа для production - это Sandy Bridge на DDR3. Ну и хотелось бы увидеть глаза админов, когда вы "поставите им задачу" отмасштабировать БД для 10kw+50kr с поддержкой мультимастер хотя-бы для 1+1 (не говоря о 2+2 или 4*fullmesh). Попробуйте. Ах да, еще вишенка: при потере связности каждая часть кластера должна работать, в том числе принимать апдейты. А при восстановлении связности все должно смержится (last change wins), причем на ходу и без снижения рабочих нагрузок. Проще говоря, вы рассуждаете о решении задачи, которую пока не представляете. Короче, без обид, но https://anekdotov.net/anekdot/all/dznkkntktkstrtg.htm ;)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Ivan_83, 19:11 , 10-Сен-22 (110) –1
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 19:43 , 10-Сен-22 (113) +2
> Раз админы БД не могут - положим на ФС отдельными файликами и > будем ноды рсинком синхронизировать. > Или ещё что то найти, актуальное. > Несомненно я не представляю LDAP и как он там работает, но как > работает авторизация я знаю и для этого лдап не нужен.Не хочу вас обижать, но вы сами пишите ваши ответы/комментарии... Короче, очевидно что вы примерно вообще не поняли о чем речь (в частности про multimaster), и (соответственно) никогда рядом не стояли с решением подобных задач. А если вам "не нравится" LDAP в составе 3GPP 23.335, то обращайтесь в https://www.3gpp.org/ или сразу пишите в спорлото ;)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Аноним, 05:30 , 09-Сен-22 (19)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Аноним, 06:38 , 09-Сен-22 (24)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Брат Анон, 07:56 , 09-Сен-22 (26)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, InuYasha, 10:31 , 09-Сен-22 (55)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Lefsha, 01:36 , 12-Сен-22 (122)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Аноним, 06:00 , 09-Сен-22 (22)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Lefsha, 01:34 , 12-Сен-22 (121)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Admino, 01:01 , 09-Сен-22 (10)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Аноним, 02:56 , 09-Сен-22 (12) +2
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 08:49 , 09-Сен-22 (31) +3
> У меня вопрос к автору не троллинга ради, а просто интересно: когда в начале пути рассматривались открытые реализации LDAP смотрели ли на 389-ds от RedHat? Рассматривали много чего, и не просто рассматривали, а пробовали под нагрузкой (не в обиду postgresql - получали на порядки меньше RPS). > Если да, то почему его за основу не взяли? Основная причина выбора OpenLDAP = наличия multi-master. Прочие подробности см на 11 странице https://www.basealt.ru/fileadmin/user_upload/kaluga-xiii-201... > Есть вообще про него какие-нибудь комментарии? В целом, автор ничего не выбирал и не дизайнил, его попросили/позвали починить OpenLDAP когда ситуация уже была пожарной.
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, mos87, 06:42 , 09-Сен-22 (25) +2
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 09:12 , 09-Сен-22 (36) +1
> Один вопрос - можно ли в принципе приспособить LDAP в качестве general-purpose > базы данных?Да..., но... > Например, конторе на вход поступают данные в виде XMLек, там само собой > вложенные и множественные тэги. Реализуемо ли как-то в рамках схемы (самописной > конечно) LDAP повторить структуру XMLки особенно в части вложенности? У меня > впечатление, что иерархия в таком виде в LDAP-модели данных невозможна? Может > как-то objectclass'ами это нужно нагородить. LDAP DIT - это расширенный key-value, где для ключей определена иерархия, а value состоит из набора обязательных и опциональны атрибутов. > Или вот можно ли как-то на лету менять схему, как в SQL > базах? Хотя бы дописав новую, расширяющую старую? Так же сложилось впечатление, > что тут всё плохо. Можно, но не всегда и не во всех LDAP-серверах, со всеми теми-же (часто неявными) проблемами что и в SQL. В самом простом случае можно менять набор необязательных атрибутов.
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, mos87, 09:36 , 09-Сен-22 (42)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, bOOster, 10:09 , 09-Сен-22 (51) +3
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 10:14 , 09-Сен-22 (52) +1
> Спасибо за ответ. >> LDAP DIT - это расширенный key-value, где для ключей определена иерархия, а >> value состоит из набора обязательных и опциональны атрибутов. > да, но сформиулирую так - можно ли как-то сделать, чтобы KEY был > лишь контейнером для других KEY? > со множественностью проблем нет это я понимаю (один ключ может повторяться сколько > угодно, в соотв. со схемой конечно), а вот такая вроде бы > нехитрая система с вложенностью - сколько ни гуглил такого не видел. Не уверен что могу понять что вы имели в виду, кроме как предположив что речь о составных ключах и/или индексах. В LDAP это не обязательно, т.е. не требуется для соблюдения RFC (хотя их много и я точно не читал все). Соответственно, вы не можете рассчитывать на подобные возможности глядя на абстрактный LDAP-сервер. С другой стороны, в (Re)OpenLDAP доступно определение составных индексов по атрибутам, в том числе с контролем уникальности. Плюс есть всяческие плагины/оверлеии типа MemberOf и виртуальных групп. >[оверквотинг удален] > | -- тут key - value (выполнивший) > | | | > | | -- имя выполнившего - Иванов > | | | > | | -- должность - прораб > | -- тут key - value (номер договора какой-нибудь) > ... > Данные поступающие то вроде по большей части как раз иерархические, так что > в качестве "фронта" вроде логично использовать не табличное хранилище. Но насколько > тут приспособляем LDAP я пока не очень пойму... И так тоже можно..., но насколько удобно решайте сами. Также нужно не забывать, что LDAP не гарантирует ACID на уровне всего DIT, а только для отдельных элементов. > Может есть какие-то качественные ссылки, где люди описывают опыт не стандартной работы > со схемами? Был бы благодарен.
https://pro-ldap.ru/ Только смотреть/искать нужно не чей-то опыт, а вникать в возможности сервера, через примерны понимать как их настраивать, а затем (желательно) понимать как это работает внутри.
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, bOOster, 10:21 , 09-Сен-22 (53) +1
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Lefsha, 14:19 , 14-Сен-22 (148)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Бывалый смузихлёб, 07:59 , 09-Сен-22 (27) –1
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Свинорез, 08:34 , 09-Сен-22 (29)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 09:05 , 09-Сен-22 (34) +1
> Вопрос скорее в том, почему Мегафон тупо слился - его ведь и > далее так будут пинать все кому не лень.МегаФон всегда есть за что попинать "для профилактики", но тут он не причем: - блокировка из-за нового места работы автор, а непосредственно в МегаФоне он никогда не работал; - МегаФоне уже года три-четыре не использует ReOpenLDAP и не имел отношения к размещению исходного кода на Github, это была инициатива исключительно со стороны автора;
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Аноним, 09:09 , 09-Сен-22 (35) –3
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 09:17 , 09-Сен-22 (38) +4
> Судя по списку изменений, проект, весьма ожидаемо, заброшен. > В этом и есть основное отличие от openldap, видимо :-) Для тех кто в танке, основные отличия от OpenLDAP: работающая репликация в режиме multi-master, в том числе для full-mesh топологии из 3-4-5 узлов, в том числе под высокой нагрузкой. OpenLDAP в таком режиме потеряет часть апдейтов и упадет максимум через 1-2 часа, а в худшем случае удалит произвольную часть синхронизируемых данных... :-)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, bOOster, 10:26 , 09-Сен-22 (54)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 10:40 , 09-Сен-22 (59) +1
> Я проблем еще с 2.4.49 (по моему) с многонодной мультимастер репликацией не > имел. Низнаю че там в ReOpenLDAP изобретали.OpenLDAP гарантированно падает и/или теряет данные когда: - больше двух узлов в multimaster; - изменения льются на все узлы одновременно; - связь между узлами рвется и восстанавливается.
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, bOOster, 10:50 , 09-Сен-22 (61)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 11:04 , 09-Сен-22 (64) +2
>[оверквотинг удален] >> OpenLDAP гарантированно падает и/или теряет данные когда: >> - больше двух узлов в multimaster; >> - изменения льются на все узлы одновременно; >> - связь между узлами рвется и восстанавливается. > Я еще раз повторяю, в моих условиях я не имел этих проблем. > 10 нод в мультимастере у меня было и щас есть, самые > старые 2.4.49. На 2.5 я еще даже и не думаю переходить. > Не вижу никаких выгод пока. > Гоняют серверы по синхронизации громадный переизбыток трафика - да, но у меня > на серверах нет каналов с учетом трафика.Проблема воспроизводится (даже) на собственных тестах OpenLDAP, если их просто зациклить (но быстрее на нагруженной машине). Но вы можете достаточно долго не замечать проблем, так как обычный сценарий использования OpenLDAP с multimaster и обычные требования сильно отличаются от мегафоновских. Грубо говоря, у вас не 10К апдейтов в секунду, нет тестов на устойчивость и корректность работы при потере и восстановлении связности, нет проверок что данные на узлах кластера одинаковые (вот проверьте, кстати). При использовании multimaster смысл переходить есть только на ReOpenLDAP. С объемом трафика это никак не связано, и переизбытка быть недолжно.
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Stan, 20:06 , 09-Сен-22 (82)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 20:40 , 09-Сен-22 (83)
> У нас 6 мастер-мастер OpenLDAP разбросанный по всему миру (разные регионы). Трафик > конечно не 10К апдейтов в секунду, но где-то чуть меньше половины. > Собираем метрики, есть мониторинг - каких либо крупных проблем не наблюдаем. > У вас есть пошаговая инструкция как воспроизвести эту проблему?Как уже отвечал где-то рядом - достаточно зациклить собственные тесты OpenLDAP, которые тестируют репликацию. Желательно на сильно загруженной машине. Использовавшийся сценарий для проверки _примерно_ такой: - на машине настраивается четыре local-interface, например 10.{1,2,3,4}.0.0.1/24 - конфигурируется full-mesh мультмастер кластер из 4-х инстанции slapd, т.е. у каждого slapd по 3 штуки syncprov и syncrepl к другим; - все syncprov и syncrepl настраиваются так, чтобы работали через соответствующие local-интерфейсы, т.е. получает что каждый slapd "сидит" в своем сегменте 10.{1,2,3,4}.0.0.1/24; - кроме этого каждый slapd слушает свой порт на 0.0.0.0; - запускается питоновский скрипт, который стохастически начинает одновременно создавать/изменять/удалять записи через подключения ко всем четырем сервера (но при этом изменения не конфликтуют между собой); - этот-же питоновский скрипт проверяет что данные соответствуют ожидаемым (можно создать, удалить, изменить и т.п.) - запускается еще набор скриптов, который через iptables стохастически временно рвет syncprov-syncrepl соединения между узлами. - оставляем "на ночь", утром проверяем что не упало и DIT на всех узлах совпадает. - повторяем с ASAN и затем с Valgrind... Если вы готовы разбираться со скриптами, то я наверное смогу их отыскать. В OpenLDAP достаточно быстро всплывали ошибки: - race conditions, use-after-free и всяческие падения в десятках мест; - зацикливания и зависания; - утечки памяти; - воскрешение удаленных записей; - удаление недавно добавленных и/или обновленных; Удаление части replication scope более редкая ошибка, но внимательно прочитав RFC можно примерно догадаться когда и почему она происходит.
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 20:43 , 09-Сен-22 (84)
> У нас 6 мастер-мастер OpenLDAP разбросанный по всему миру (разные регионы). Трафик > конечно не 10К апдейтов в секунду, но где-то чуть меньше половины. > Собираем метрики, есть мониторинг - каких либо крупных проблем не наблюдаем. > У вас есть пошаговая инструкция как воспроизвести эту проблему?На всякий, может пригодится https://ldapcon.org/2017/wp-content/uploads/2017/08/1_ReOpen...
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, InuYasha, 11:06 , 09-Сен-22 (65) –1
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 11:10 , 09-Сен-22 (67) +1
> Коллеги, а есть какой-нибудь GUI к этому всему делу? Чтоб видеть хоть, > с чем работаешь, и не из головы писать все эти синтаксические > ужасы. > Я как-то пытался прикрутить phpLdapAdmin пару лет назад, но что-то там не > задалось.Не встречал ничего чтобы помогало. Все прокладки только запутывают еще больше. При этом весь "птичий синтаксис" достаточно логичный и удобный. Грубо говоря, примерно любой кто берется делать "GUI в помощь" приходит к выводу что не нужно.
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, mos87, 13:24 , 09-Сен-22 (76)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Stan, 19:59 , 09-Сен-22 (80) +1
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Lefsha, 15:23 , 12-Сен-22 (133)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Lefsha, 15:24 , 12-Сен-22 (134)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Анончик, 16:07 , 11-Сен-22 (118) +2
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Lefsha, 02:21 , 12-Сен-22 (125) –2
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, vvm13, 10:40 , 12-Сен-22 (127) +2
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Ivan_83, 11:57 , 12-Сен-22 (130)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Lefsha, 15:34 , 12-Сен-22 (137)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Ivan_83, 21:25 , 12-Сен-22 (139)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Lefsha, 12:43 , 13-Сен-22 (144)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Ivan_83, 14:51 , 13-Сен-22 (146)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, erthink, 15:18 , 13-Сен-22 (147)
> Существуют группы aka Linux и существуют группы организованные другим образом. > В итоге нет возможности совмещать пользователей по одним и тем же группам > в рамках пользователей > самой OS и сервисов предоставляемых в рамках условной сети. Т.е. то что > более или менее работает > в Windows совершенно не работает в Linux. Но это проблема устаревшей концепции > Unix - я-мы-все.Тут у вас что-то не так, либо я вас совсем не понял. В LDAP, прежде всего, всегда есть иерархия, т.е. дерево вложенных OD. - Соответственно, появляется иерархия OD-групп, и эта иерархия сугубо топологическая/географическая. - От этой иерархии/группировки можно отказаться, если тупо свалить все DN-ы в один OD. Кроме этого есть "вторичные" группы, которые реализуются методами, либо их комбинацией: - через списки: если DN входит в группу, то он включен в какой-то список; - через атрибуты: если DN входит в группу, то у него есть соответствующий атрибут, как вариант атрибут в котором список групп, в которые входит DN; Это покрывает все сценария использования. В винде (active directory) ровно тоже самое, ибо другие методы просто сложно придумать. На это накладываются некая автоматизация поддержки групп через эти методы, включая запросы, обновление списков/индексов и т.п. В RFC что-то было на тему "как это следует делать", но подробностей я совсем не помню (не было необходимости вникать). Насколько помню есть некоторые проблемы из-за того что у "каждого slapd" что-то своё, но главная заслуга в этом сначала немного Novell, а потом M$ - ибо принципиально не пытались договариваться, клали болт на RFC и упорото делали велосипеды.
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Lefsha, 15:31 , 12-Сен-22 (136)
- Релиз LDAP-сервера ReOpenLDAP 1.2.0, Lefsha, 17:31 , 18-Дек-22 (154)
|