Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выпуск OpenLDAP 2.6.0, открытой реализации протокола LDAP"	+/–
Сообщение от opennews (??), 26-Окт-21, 10:54
Опубликован выпуск пакета OpenLDAP 2.6.0, предлагающего многоплатформенную реализацию протокола LDAP (Lightweight Directory Access Protocol) для организации работы служб каталогов и  доступа к ним. Проектом развивается модульная серверверная часть, поддерживающая различные бэкенды хранения и доступа к данным, проси-балансировщик, клиентские утилиты и  библиотеки. Код написан на языке Си и распространяется под BSD-подобной открытой лицензией OpenLDAP Public License... Подробнее: https://www.opennet.me/opennews/art.shtml?num=56041
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 26-Окт-21, 10:54	–6 +/–
> Объявлены устаревшими луддиты, восстаньте!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #48

2. Сообщение от Урри (ok), 26-Окт-21, 11:01	+1 +/–
А причем тут луддины? "Трансляция LDAP-запросов в БД с поддержкой SQL", имхо, прекрасная фича, никак к луддитизму не относящаяся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #42

4. Сообщение от Turbid (??), 26-Окт-21, 11:07	+2 +/–
Из ReOpenLDAP что-то бэкпортировать собираются?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41, #43, #53

5. Сообщение от QwertyReg (ok), 26-Окт-21, 11:08	–21 +/–
Удивительно. Оно ещё живое. Костылять LDAP на Linux - это как насиловать Docker на Windows.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #8, #29

6. Сообщение от ET (?), 26-Окт-21, 11:14	+/–
и сабж и самба актуальны для построения общедоступных сетевых сервисов
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

8. Сообщение от Аноним (8), 26-Окт-21, 11:16	+5 +/–
Вы путайте курицу и яйцо. Active Directory появился в 2000 году (в Windows 2000), а первый релиз OpenLDAP  выпущен в 1998 году.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #9

9. Сообщение от QwertyReg (ok), 26-Окт-21, 11:17	–11 +/–
> Вы путайте курицу и яйцо. Active Directory появился в 2000 году (в > Windows 2000), а первый релиз OpenLDAP  выпущен в 1998 году. И что? Где теперь LDAP, а где AD?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #11, #38

11. Сообщение от ET (?), 26-Окт-21, 11:22	+2 +/–
на своих местах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #17

17. Сообщение от QwertyReg (ok), 26-Окт-21, 11:28	–1 +/–
> на своих местах Полностью согласен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

20. Сообщение от InuYasha (??), 26-Окт-21, 12:05	+1 +/–
Есть ли вообще какие-нибудь хорошие туторы, гайды, видосы хотя бы или доки на ЭТО? Чтобы от "что такое" до "как настроить". Самый мистический софт из всего на планете. Адская нотация, секретные схемы, в стороннем софте, который "поддерживат интеграцию с LDAP", чаще "наш софт поддерживает, вот опция ВКЛ, остальное, раз вы умеете ЛДАП, вы и так поймёте".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #23, #26, #28, #33, #54

21. Сообщение от InuYasha (??), 26-Окт-21, 12:06	+/–
Если что, я перечитал уже сотню статей типа, "что такое сферический DAP в вакууме, смотрите, вот у нас орг и людишки, какая красота, вот и всё, ребята!" и видосов от индусов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #24, #27

23. Сообщение от лютый жабби__ (?), 26-Окт-21, 12:31	–7 +/–
>Чтобы от "что такое" до "как настроить" после изобретения nosql-ей с репликацией, отказоустойчивостью и нормальным json-ом внутри *лдап-пoделки стали не нужны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #25, #36

24. Сообщение от Да не важно (?), 26-Окт-21, 12:32	+/–
Прошу простить, а как же ещё? Вас же не смущает, что вместе с поставкой SQL-сервера не идёт схемы данных, рассчитанной конкретно под вашу задачу?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #35

25. Сообщение от Да не важно (?), 26-Окт-21, 12:34	+1 +/–
Нет. "LDAP-поделки" станут не нужны сразу после изобретения noSQL-ей с константным временем доступа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #56

26. Сообщение от mos87 (ok), 26-Окт-21, 12:40	+/–
шли годы... постили одни и те же вопросы))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

27. Сообщение от Аноним (27), 26-Окт-21, 12:53	+7 +/–
Самое лучшее из того, что приходилось читать - это 'Mastering OpenLDAP: Configuring, Securing, and Integrating Directory Services' by Mark Butcher, Packt Publishing, 2008 (без труда ищется в Сети) После этой книги настраивать и использовать сервер LDAP становится не сложнее, чем SQL-сервер (в самом начале  автор, кстати, указывает на сходство обеих технологий - они пусть и не родные братья, но двоюродные: и то и то - базы данных, просто чуть по-разному организованы -таблицы vs перевернутое дерево - а в результате и синтаксис запросов несколько отличается). Одно "но" - настройка сервера в книге выполняется старым методом, через slapd.conf. С тех пор кое-что изменилось, сейчас рекомендуется использовать метод cn=config. Так что в дополнение к книге желательно почитать еще что-нибудь, напр. главу 5 из "Administrator's Guide" с официального сайта, или раздел по OpenLDAP из Ubuntu Server Guide - после книги разобраться в этом будет уже нетрудно. Да, и клиентскую часть сейчас рекомендуют настраивать через sssd, не через pam-ldap (доки можно найти, напр., на сайте RedHat (RHEL 7, подробно) или в том же Ubuntu Server Guide (кратенько))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

28. Сообщение от Аноним (28), 26-Окт-21, 12:59	+/–
здесь на сайте описание видел
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

29. Сообщение от Аноним (29), 26-Окт-21, 13:35	–11 +/–
OpenLDAP использует Wine, и этого достаточно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #32

30. Сообщение от 1 (??), 26-Окт-21, 13:42	–1 +/–
Насколько я помню, Calculate делает свой домен на OpenLDAP. Ну и AstraLinux поди тоже.
Ответить | Правка | Наверх | Cообщить модератору

31. Сообщение от Abyss777 (?), 26-Окт-21, 13:52	–2 +/–
Подскажите пожалуйста, чем реализовать такую штуку: ldap proxy принимающий bind в PLAIN и транслирующий как bind с DIGEST-MD5 ? OpenLDAP умеет прокси в AD, но бинды транслирует как есть. c ldaps  и startls не хочется связываться, т.к. лютый гемор с распедаливанием сертификатов. Хочется запилить такой прокси и ставить рядом с сервисами не умеющими DIGEST-MD5 (openfire например) чтоб ходить в AD
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

32. Сообщение от Аноним (32), 26-Окт-21, 14:07	+1 +/–
каким боком ты приплёл Wine сюда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

33. Сообщение от Аноним (33), 26-Окт-21, 14:11	+/–
Есть целый сайт, посвященный ЛДАП на русском и есть перевод LDAP для ученых-ракетчиков. В принципе легко поднимается на уровне сервера каталогов с мастер-мастер или мастер-слейв репликацией за день. Вот сайт - https://pro-ldap.ru/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #37

34. Сообщение от Zerot (?), 26-Окт-21, 14:34	+1 +/–
больше 10 лет живёт в домашней сети в связке с Kerberos как SSO, и NFS, посление годы NFS4 с криптографией - как файлового сервера и хранилища домашх каталогов для терминалок. Также гут будет жить и в офисе человек на пару сотен ... старенькое, уже начал забывать, как развёртывается. Но это недолго вспомнить. Долгих лет проекту
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44

35. Сообщение от InuYasha (??), 26-Окт-21, 14:41	–2 +/–
> Вас же не смущает, что вместе с поставкой SQL-сервера не идёт схемы > данных, рассчитанной конкретно под вашу задачу? Меня не смущает, что под SQL есть столько малоустаревающей информации, что хватит на бумажную библиотеку. А также достаточно apt install wtfsql и какой-нибудь клиентской утилиты типа phpMyAnus или вообще виндовой IDE для визуального администрирования. phpLDAPAdmin я смотрел, он загнулся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

36. Сообщение от InuYasha (??), 26-Окт-21, 14:43	+/–
> после изобретения nosql-ей с репликацией, отказоустойчивостью и нормальным json-ом внутри > *лдап-пoделки стали не нужны. простите, вы БД с директорией не путаете? LDAP это про больше про централизацию доступа, чем про хранение данных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #39

37. Сообщение от InuYasha (??), 26-Окт-21, 14:49	–1 +/–
> Вот сайт - https://pro-ldap.ru/ Спасибо за напоминание. Когда последний раз смотрел, вышел новый ЛДАП, который хранил настройки сам в себе, а на сайте инфа была устаревшей. Ну, и вообще там таким языком написано как в профессуре на кафедре :) или переведено с ынглиша из какого-нить RFC (нет, я не фанат смузихабра). Сейчас поглядел - вроде, жизнь есть, инфу обновили. Интересно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #40

38. Сообщение от bOOster (ok), 26-Окт-21, 16:17	+3 +/–
Ты че, местный дурачек чтоли? Какая прямая связь между AсtiveDirectory и OpenLDAP который может быть каким угодно каталогом любых данных? AD это потребитель услуг LDAP, но с очередной кривой подачи MS, ушедший от стандартизированных OID, и поэтому местный для AD каталог LDAP прибит туда гвоздями. А OpenLDAP это отличный реплицирующийся каталог, позволяющий запускать территориально разнесенные решения или локальные для распределения нагрузки и при некоторых знаниях он отлично предоставляет различную информацию (логины, пароли и далеко не только это) для почтовых сервисов, телефонии freeswitch и т.п.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #45

39. Сообщение от bOOster (ok), 26-Окт-21, 16:26	+/–
В LDAP можно поместить все что захочешь. Опиши свою схему SCHEMA (типа полей в таблице SQL БД) и ложи туда любые данные в соответствии с описаными полями.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

40. Сообщение от bOOster (ok), 26-Окт-21, 16:30	–1 +/–
в OpenLDAP ничего принципиально не поменялось. Раньше схемы хранились в файле, а теперь в самом каталоге... "cn=config"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #52

41. Сообщение от Led (ok), 26-Окт-21, 16:33	+8 +/–
Только скрепы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

42. Сообщение от bOOster (ok), 26-Окт-21, 16:37	+1 +/–
И колоссально тормозящий LDAP в нагруженных системах вплоть до полного непотреба.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #49

43. Сообщение от bOOster (ok), 26-Окт-21, 16:40	–7 +/–
На$ер эта поделка Linux only никому не сдалась, причем с весьма сомнительными введениями, уводящими решение от стандарта. Прямой дорогой идет вслед за каталогом от MS который прибит гвоздями к AD
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

44. Сообщение от УмНашМаш (?), 26-Окт-21, 17:20	+1 +/–
пару сотен говорите ? :) Лет 15 назад  у нас openldap на 150,000 юзверей работал и не жужжал , бежал тогда на Сане Т2000 . Причем там были не только user/pass , мы группами регулировали доступ к фолдерам на вебе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34 Ответы: #46

45. Сообщение от Тинус Лорвальдс (ok), 26-Окт-21, 19:19	+/–
>Ты че, местный дурачек чтоли? да, здесь периодически появляются такие кадры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

46. Сообщение от InuYasha (??), 27-Окт-21, 02:16	+/–
> Причем там были не только user/pass , мы группами регулировали доступ к > фолдерам на вебе. Круто. Это апач/самба/acl?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #47

47. Сообщение от УмНашМаш (?), 27-Окт-21, 17:35	+/–
насколько помню , база была в основном на : https://httpd.apache.org/docs/2.4/mod/mod_authnz_ldap.html Потом на мод перле я переписал часть , чтобы не "Basic auth" ,  а как у взрослых :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

48. Сообщение от Аноним (48), 28-Окт-21, 12:10	+/–
аноним не знает значения слов  которые использует.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

49. Сообщение от john_erohin (?), 28-Окт-21, 18:28	+/–
снять часть нагрузки с "нагруженных систем" вы не пробовали ? так попробуйте, возможно вам даже понравится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

50. Сообщение от Аноним (53), 28-Окт-21, 20:09	+/–
> The older style slapd.conf(5) file is still supported А разговоров-то было.
Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от Аноним (53), 28-Окт-21, 20:10	+/–
Делай через SASL-схему у паролей и проверку его через saslauthd
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

52. Сообщение от Аноним (53), 28-Окт-21, 20:10	+/–
В 2.6 конфиги таки оставили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #55

53. Сообщение от Аноним (53), 28-Окт-21, 20:11	+/–
Там коммитов нет уже 3 года, ReOpenLDAP мёртв.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

54. Сообщение от Аноним (53), 28-Окт-21, 20:19	+/–
> "что такое" NoSQL СУБД со строгой типизацией на основании схем и древовидной организацией данных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

55. Сообщение от bOOster (ok), 29-Окт-21, 08:20	+/–
> В 2.6 конфиги таки оставили. Конфиг сильно неудобен - рестартовать надо сервер когда схему меняешь, репликации добавляешь, убираешь. Вообще cn=config значительно более юзабельный.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #57

56. Сообщение от лютый жабби__ (?), 29-Окт-21, 19:46	–1 +/–
>"LDAP-поделки" станут не нужны сразу после изобретения noSQL-ей с константным временем доступа. прям ldap-пoделки гарантируют realtime отзывчивость? редис такого же куцего размера наверняка не медленнее. хотя он далеко не самый быстрый. и туда ещё писать можно. с чем можно согласиться, так с тем, что ACLи у лдапа гибче настраиваются. в остальном - прошлое тысячеление
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

57. Сообщение от Аноним (53), 02-Ноя-21, 06:48	+/–
Конфиг удобен тем, что его проще заливать ансиблом без головняка с приведением cn=config к нужному виду из того состояния, в котором он находится в текущий момент. А рестарт - не проблема: снял bgp-анонс, приземляющий траффик на инстанс (или просто закрылся от health-чеков, прилетающих от роут-контроллера), и делать с ним дальше что хочешь, а пяток других инстансов, раскиданных по датацентрам, продолжат молотить нагрузку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #58

58. Сообщение от bOOster (ok), 02-Ноя-21, 07:52	+/–
> Конфиг удобен тем, что его проще заливать ансиблом без головняка с приведением > cn=config к нужному виду из того состояния, в котором он находится > в текущий момент. > А рестарт - не проблема: снял bgp-анонс, приземляющий траффик на инстанс (или > просто закрылся от health-чеков, прилетающих от роут-контроллера), и делать с ним > дальше что хочешь, а пяток других инстансов, раскиданных по датацентрам, продолжат > молотить нагрузку. Мюсье знает толк в извращениях... Как в первом так и втором случае. В первом - файловые конфиги таскать если несколько OpenLDAP в мирроре стоят это то еще извращение. Да и для приведения к cn=config есть slapcat. Подозреваю что мюсье не умеет в LDIF? Добавить, удалить, изменить отдельную запись, отдельное значение атрибута? Во втором - A record назначен на N зеркальных серверов OpenLDAP при падении одного - запросы забирают другие. Можно DNS записи запихнуть в LDAP и временно ограничивать выдачу неработающего DNS. На клиентах, конечно, DNS кэш подгаживает с TTL адреса, но в продуктиве практика показывает что это не выводит систему в "аварийное" функционирование.   А bgp дергать это из оперы, появляющейся на opennet в новостях об отвале частей глобальных сетей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #59

59. Сообщение от Аноним (53), 03-Ноя-21, 23:57	+/–
> В первом - файловые конфиги таскать если несколько OpenLDAP в мирроре стоят это то еще извращение. В чем извращение? В том, чтобы накатить ansible-плейбук с 5-ю тасками? > Да и для приведения к cn=config есть slapcat Зачем мне идти и что-то тащить с другого сервера, если у меня есть система управления конфигурацией с референсным конфигом в git-е? > Подозреваю что мюсье не умеет в LDIF? Проблема не в том, что нужно "уметь в LDIF" (было бы что там уметь, чай не rocket science), а в том, что накатка конфига - идемпотентная операция, а применение LDIF-а с кучей записей - нет (если, конечно, у тебя LDIF не начинается с того, что удаляет все записи в каталоге). > Во втором - A record назначен на N зеркальных серверов OpenLDAP при падении одного - запросы забирают другие. А потом у тебя появляется клиент, который так не умеет. Либо умеет, но плохо. Балансировки через DNS round-robin - это либо для самого-самого верхнего уровня системы распределения трафика (например, сделать round robin из двух адресов, анонсируемых пулом балансировщиков нагрузки), либо для откровенно колхозных систем. > А bgp дергать это из оперы, появляющейся на opennet в новостях об отвале частей глобальных сетей. Волков бояться - в лес не ходить. Во-первых, то того, что кто-то сломал у себя (и у соседа) BGP не значит, что самим протоколом пользоваться не нужно, просто нужно опасные глобальные изменения проводить с должной осторожностью, ну и не давать кому попало возможность эти изменения совершать. Во-вторых, в вопросе приземления трафика на серверы, разумеется, не надо делать такую систему, что неправильным конфигом на серваке с openldap можно поломать связность AS. Это как раз легко достигается выносом работы с BGP на route controller-ы (типа exabgp) в руках квалифицированных инженеров, а информация об актуальности next-hop-ов уже управляется контроллером на основе healthcheck-а этого самого nexthop-а. В итоге сервер с сервисом, выступающий nexthop-ом сломать может максимум себя, а не весь сервис, не говоря уже про роутинг в сети целой компании или её соседей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема