URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 11994
[ Назад ]

Исходное сообщение
"OpenNews: Настройка сетевых сервисов для работы с LDAP"

Отправлено opennews , 11-Авг-05 15:23 
Опубликована статья содержащая подробное описание настройки практически всех сетевых сервисов в связке с сервером LDAP. В частности рассмотрена настройка таких сервисов как: DNS, DHCP, POP3/SMTP, HTTP, FTP и др.

В статье присутствует много информации ранее нигде не публиковавшейся и представляющей ценность для всех, кто планирует упорядочить управление сетью.

URL: http://www.netup.ru/articles.php?n=11
Новость: http://www.opennet.me/opennews/art.shtml?num=5901


Содержание

Сообщения в этом обсуждении
"Настройка сетевых сервисов для работы с LDAP"
Отправлено abu , 11-Авг-05 15:23 
Статья интересна конечно. Еще один шаг к всеобщему объединению.

Все жду не дождусь (или в данной статье я что-то упустил?), когда кто-нибудь опишет, или ссылку кинет, как хранить leased-файлы dhcp в LDAP. То есть - направил хост запрос, получил ip-адрес и образовалась запись в LDAP. Без всех этих привязок к мак-адресу (хотя они тоже важны, конечно) вручную. А уж я потом возьму этот мак-адрес и черта лысого загибать буду :)

Пока что у меня DNS и DHCP хорошо живут и без оного (LDAP). А вот самба и адресная книга - в LDAP'e :)


"Настройка сетевых сервисов для работы с LDAP"
Отправлено dryupitz , 12-Авг-05 11:38 
А у вас заносить новые контакты в адресную книгу имеют право все клиенты? Если да, то какой почтовый клиент вы используете?

"Настройка сетевых сервисов для работы с LDAP"
Отправлено abu , 12-Авг-05 16:26 
Эх! И больше ничего :) Я чуть издалека начну.

История уже годичной давности у меня вообще с LDAP - могу и ошибиться в том, что напишу сейчас, не судите строго :)

Честно говоря мне нет нужды хранить настройки bind и dhcp, например, в ldap. Почему? Да потому что им и на своем месте хорошо. У dhcp конфига мала, чтобы городить еще и схемы на нее, а bind в связке с dhcp сам воротит что ни попадя в своих конфигах. Так зачем же мне плодить сущности? :) Только затем, что так же пытается делать и Active Directory? Тем более, что патчить надо и dhcp и bind - а оно мне надо?

Отсюда вопрос встал сразу простой - для чего вовсе ldap нужен? Ответ получился тоже простым: заводить из одного места: юзеров линуксовых, юзеров домена самбового ну и чтобы была нормальная адресная книга. Ну и еще - про что писал сразу - если уж юзать dhcp и dns с ldap совместно - тогда чтобы leased-записи складывались (соответствие имени хоста и динамически полученного адреса чтоб было - так легко потом брать эти соответствия для подсчета траффика, например, из ldap а не мудрить через скрипты всякие).

Оговорюсь еще раз - я очень ламерный товарищ и не претендую тут на истину - просто наболело, может кто что и подскажет дельного :)

Помаявшись (спасибо Сыктывкарскому сообществу линукс и какому-то, уж не помню, итальянцу, вкупе с очень мудрым местным наставником) настроил контролер домена на самбе 3.02 с ldap. Чтобы как-то это дело админить, прикрутил LAM (кстати, чтобы появилась возможность заносить не только инфу по домену, а и что-либо о пользователях, включая и email, и инфу по офисным данным надо еще и схемы править, насколько помню - inetorgperson не уживался с самбовыми схемами). Когда все это заработало, встало дело за адресной книгой для клиентов почтовых.

А клиент почтовый у нас - the BAT. И вот кто юзал его по части ldap - тот меня поймет - (или я один такой?) - смысл моих трудов пропал. Потому что сей клиент почтовый, насколько я понял, не обновляет автоматически данные с ldap. Надо каждый раз запрос делать. А научить бабу Машу нажимать еще лишних три кнопки, да еще шаблон поиска вводить (=звездочки= тоже он не понимает) - это непосильная задача. Да, еще надо научить ldap прикидываться второй версией - третью версию ВАТ не приемлет (где-то тут же на Opennet я это нашел :) ).

И вот сижу я - красивый, с доменом,с ldap, с адресной книгой и никому это нафиг не надо :)

А данные в ldap заношу сам только, бабушек не пускаю :)

Я буду рад, если меня закидают помидорами и скажут - дурень, все же так просто, а ты тут бред несешь. Соглашусь и попрошу ссылки. Я все натыкаюсь, в случае комплексных решений (а иначе - нафига оно вообще надо?) либо на неполноту описаний, либо на кучу скриптов, в помощь ldap'y. Но помилуйте - зачем тогда он сам, этот ldap нужен, если скриптов к нему куча и патчей? Странно это как-то.

И последнее - нужды в связке postfix'a с ldap я пока что не вижу - юзеров немного - около 150, к тому же - не все они в домене - офисы разбросаны по разным местам и я суету разводить не желаю. Но, чем черт не шутит :)


"Настройка сетевых сервисов для работы с LDAP"
Отправлено dvg_lab , 15-Авг-05 17:16 
с ужасом читаю все что касается ldap'а мне еще только предстоит переезд на эту ацкую софтину. Мне также хочется сделать чтобы была единое авторизационное хранилище, откуда можно было бы брать инфу для сквида, для самбы и для адресной книги... сейчас стоит Exchange 5.5 и NT4... а клиенты все автоглюки 2000... и проблема разрастается до замены мыльницы чего мне делать абсолютно не хочется... интересно как работает автоглюк с ldap адресной книгой?... хочется чтобы юзера также нажимал в кнопку Кому и получал реальный список адресов, а не через поиск по базе... вобщем гложут меня смутные сомнения и не вижу я как это все должно в итоге работать

"Жопа а не статья..."
Отправлено Григорьев Михаил , 11-Авг-05 18:14 
Есть пару интересных строк и не более... по Bind-DLZ. Могу сказать со 100% гарантией что на FreeBSD вы такое с первого налёта не сделаете, придётся сидеть и грызть кактус не один месяц. Так что статья очень кривая, про PAM_LDAP и NSS_LDAP вообще нуль, 2 строки, ничего толком не написано, что главное, на что нужно обратить внимание... :(

"Настройка сетевых сервисов для работы с LDAP"
Отправлено Abu , 12-Авг-05 04:06 
Да с первого налета LDAP мало где вообще пролазит. Более того - инфы не то чтобы мало, а по крупицам выковыриваю. Делитесь :)

Описать LDAP одной статьей - нереально, потому - спасибо и за такую :) - можно и улучшить и развить в дальнейшем.


"Настройка сетевых сервисов для работы с LDAP"
Отправлено Chistiakov_A , 12-Авг-05 14:46 
Эта статья не претендует на полноту, но явлется попыткой собрать информацию по взаимодействию сервисов с LDAP в одном месте и предполагает дальнейшее дополнение, корректировку и развитие. По-моему, вопрос весьма актуален.

"Печально, однако, немного"
Отправлено serg1224 , 12-Авг-05 19:50 
LDAP'у уж далеко не первый год жизни и даже БЫЗОВЫЕ вопросы интеграции с другими сетевыми службами до сих пор не решены! Не такой уж он и LightDAP получается, если настроить его целый подвиг! Сам еще не пробовал (надо не было), но прислушимваюсь к коллегам и тихонько печалю...

"Печально, однако, немного"
Отправлено Осторожный , 12-Авг-05 20:11 
>LDAP'у уж далеко не первый год жизни и даже БЫЗОВЫЕ вопросы интеграции
>с другими сетевыми службами до сих пор не решены! Не такой
>уж он и LightDAP получается, если настроить его целый подвиг! Сам
>еще не пробовал (надо не было), но прислушимваюсь к коллегам и
>тихонько печалю...

LightDAP он потому что это протокол так называется.
Интеграция с сервисами - это дело дистростроителей,
а вовсе не авторов OpenLDAP-сервера.

Где-то за месяц неспешно настроил OpenLDAP 2.3 на FreeBSD 5.4
Прикрутил pam_ldap, nss_ldap, samba with ldap.
Для управления юзерами использую smbldap-tools ( патчил ).
Courier-imap, postfix работают без ldap.
Proftpd 1.2.10 работает с ldap.
( через nss не смог заставить его работать,
зато через модуль ldap заставил работать с ldap напрямую ).

Сделал бы быстрее, но я заставлял все программы и тулзы
работать через ldap over ssl вместо простого ldap.
Кроме этого еще настройки прав доступа в slapd.


"подскажите как"
Отправлено Копылец Дмитрий , 01-Ноя-06 13:02 
не понятно почему у меня не наполняется база ldap. dn=dc=....dc.. создался, а дальше ни ou ни userов добавить не могу   Почемуто nss_ldap ругается на то что не может найти ldap сервер   (когда nsswitch.conf добавляю ldap). Лог именно по slapd не пойму куда лепит - не найду его ни в /var/log /var/run/openldap. Какие ключевые настройки проверить? Я так думал это в ldap.conf binddn и тому подобное. На ldap.conf сделал ссылку в nss_ldap.conf а может быть они дожны отличаться?

"Настройка сетевых сервисов для работы с LDAP"
Отправлено Аноним , 15-Авг-05 15:44 
а у мну LDAP работает щас тестим, бля пол года с ним проеблись и вот он почти долгожданный момент, скоро будет

"Настройка сетевых сервисов для работы с LDAP"
Отправлено oleg_d , 16-Авг-05 11:55 
Привет всем
Я конечно не спец в LDAP, просто надо было сделать авторизацию для squida ну и походу я попробовал LDAP - поставил его и заработал со сквидом за несколько часов - статей нашел достаточное количество, нашел и тулзы для администрирования
Не сильно конечно копался правда, но особых проблем это не вызвало
Единственная проблема для меня была - въехать в структуру записей :) - в принципе чем-то похоже на организацию MIBов в SNMP

"Настройка сетевых сервисов для работы с LDAP"
Отправлено scum , 16-Авг-05 15:24 
>в принципе чем-то похоже на организацию MIBов в SNMP

Ага, ага. ASN.1, BER, DER. Я так понимаю, для того, чтобы никогда не было проблем с LDAPом, админ должен проштудировать все эти стандарты со страшными названиями: CCITT X.208 и т.д. и т.п. Иногда думаешь: "Ну какой больной гений все это придумал". В итоге, ни одной нормальной статьи по практике настройки LDAP серверов (я так понимаю, потому что авторы этих статей и сами толком непонимают, про что пишут). Теории, дофига, про все эти OU, RDN, и прочую шнягу. Так что автору очень большое спасибо за его статью. С нетерпением жду продолжения.