Aleksey Barabanov опубликовал две новые статьи (в PDF формате):- "Почему TCP поверх TCP - плохая идея (http://www.barabanov.ru/arts/tcp/TCP_over_TCP_rus.pdf)" - перевод документа поясняющего почему не стоит использовать туннели поверх TCP, от автора "PPP over SSH" скрипта (http://sites.inka.de/bigred/sw/ssh-ppp-new.txt) и проекта CIPE (http://sites.inka.de/~bigred/devel/cipe.html) (Crypto IP Encapsulation);
- "Настраиваем Kerberos поверх LDAP (http://www.barabanov.ru/arts/kerberos_over_ldap/Kerberos_ove...)" - настройка открытой версии Heimdal Kerberos для работы с OpenLDAP в качестве хранилища учетных данных.
Ранее опубликованные статьи:- "Обзор дистрибутива SuSE Professional 9.2 (http://www.barabanov.ru/arts/suse92overview/suse92overview-w...)";
- Отрывок рукописи "LDAP и Все-Все-Все (http://www.barabanov.ru/arts/LDAPremarks-draft-2.pdf)";
- "Обновление SuSE Linux 9.0 до 9.1 с помощью apt (http://www.barabanov.ru/arts/how-to-upgrade-suse-by-apt.html)";
- "Модификация дистрибутивных дисков SuSE (http://www.barabanov.ru/arts/how-to-modify-suse-dvd.html)".
URL: http://www.barabanov.ru/arts.html
Новость: http://www.opennet.me/opennews/art.shtml?num=6442
Промптом переводил? Так вы бы хоть вычитывали после него. Что такое, например, "каждая повторная передача просто будет добавлять к проблеме - внутреннему meltdown эффекту"? Или просто сами не поняли, о чём речь? Или вот "Когда соединение верхнего слоя стартует быстро, его таймеры быстрые тоже". Такое впечатление, что русский язык вам не родной.
Conclusion: читайте по-английски, а такие переводы - в печку.
И анонс к статье через одно место написан =( Я его истолковал как "почему нельзя использовать TCP туннели и CIPE заодно", хотя CIPE именно этими характерными засадами как раз не страдает и на каналах с потерями показывал себя очень достойно.
про kerberos over ldap... в статье автор говорит о работе через локальный сокет... однако встречаются примеры запросов к лдапу не через сокет.. а через ldap://localhost...путаница для некоторых может возникнуть однако..
ну и update_anon это тоже... ужас..
ещё добавлю... видимо автор ставит креберос ещё и на машине которая смотрит в интернет... "5 баллов"..
А что такого ужасного в использовании Kerberos на машине, которая смотрит в инет?
За статью спасибо.
Но вес ее это только для ознакомления, и сам факт что это возможно.
Давно использую ldap, недавно возникла необходимость в распределенной fs для пары сотен nfs клиентов, так вот практически для всех FS необходим kerberos.
Далее по статье наезд о оценке профессионализма по ou=KerberosPrincipals необоснован, т.к. он прописывается в krb5.conf, опечатку сделать может любой и то что на эти грабли многие наступили ... неоправдывает.
Хорошо было бы увидеть именно поднятие kerberos на базу уже _существующего_ ldap, как это упоминается в статье.
Так я сейчас понял что любые добавления пользователей будут в _другой_отличной_ ветке ou=KerberosPrincipals.
Непонятен вопрос по синхронизации записей паролей,
кто всем этим будет заниматься - userPassword, sambaLMPassword, sambaNTPassword еще вот добавляется krb5key
Про скорость обработки запроса, надо прописывать индексы в ldap и все будет работать приемлемо.buzi:
1. разуй глаза ldap://localhost упоминается только при добавлении записи.
2. согласен, хотя при настройке с соответствующими правами работать будет.
3. и что дальше... ? ... будешь ломать?
1. я заметил что только при добавлении.. но может возникнуть путаница в мыслях у некоторых.. это всё что я имел ввиду
2. для чего делать соответствующие настройки чтобы разрешить update_anon.. лучше сделать соответствующие настройки чтобы избежать анонимных соединений
3. таким образом и DC можно на интернет-шлюз ставить.. кто ломать-то будет.. да? 8)у меня просто другое мнение 8)
Translation of TCP/TCP article is horrid. The translator should've reviewed his work before posting. The good news is that link the original article was still present in the PDF; this turned out to be the only way to read the article.
ЛЮДИ !!!
Этот перевод ПОЛУФАБРИКАТ к статье ПОЧЕМУ ЭТО НЕ ТАК.Т.е. TCP поверх TCP это НОРМАЛЬНО !
Автор этого опуса ЧАЙНИК!
Сейчас напишу в эху тоже самое.
Обратите внимание в индексе сайта эта статья не проанонсена!
Обосрался, так сидел бы уж, и молчал.