Опубликован выпуск пакета OpenLDAP 2.6.0, предлагающего многоплатформенную реализацию протокола LDAP (Lightweight Directory Access Protocol) для организации работы служб каталогов и доступа к ним. Проектом развивается модульная серверверная часть, поддерживающая различные бэкенды хранения и доступа к данным, проси-балансировщик, клиентские утилиты и библиотеки. Код написан на языке Си и распространяется под BSD-подобной открытой лицензией OpenLDAP Public License...Подробнее: https://www.opennet.me/opennews/art.shtml?num=56041
> Объявлены устаревшимилуддиты, восстаньте!
А причем тут луддины? "Трансляция LDAP-запросов в БД с поддержкой SQL", имхо, прекрасная фича, никак к луддитизму не относящаяся.
И колоссально тормозящий LDAP в нагруженных системах вплоть до полного непотреба.
снять часть нагрузки с "нагруженных систем" вы не пробовали ?
так попробуйте, возможно вам даже понравится.
аноним не знает значения слов которые использует.
Из ReOpenLDAP что-то бэкпортировать собираются?
Только скрепы.
На$ер эта поделка Linux only никому не сдалась, причем с весьма сомнительными введениями, уводящими решение от стандарта. Прямой дорогой идет вслед за каталогом от MS который прибит гвоздями к AD
Там коммитов нет уже 3 года, ReOpenLDAP мёртв.
Удивительно. Оно ещё живое.
Костылять LDAP на Linux - это как насиловать Docker на Windows.
и сабж и самба актуальны для построения общедоступных сетевых сервисов
Вы путайте курицу и яйцо. Active Directory появился в 2000 году (в Windows 2000), а первый релиз OpenLDAP выпущен в 1998 году.
> Вы путайте курицу и яйцо. Active Directory появился в 2000 году (в
> Windows 2000), а первый релиз OpenLDAP выпущен в 1998 году.И что? Где теперь LDAP, а где AD?
на своих местах
> на своих местахПолностью согласен.
Ты че, местный дурачек чтоли?
Какая прямая связь между AсtiveDirectory и OpenLDAP который может быть каким угодно каталогом любых данных? AD это потребитель услуг LDAP, но с очередной кривой подачи MS, ушедший от стандартизированных OID, и поэтому местный для AD каталог LDAP прибит туда гвоздями.
А OpenLDAP это отличный реплицирующийся каталог, позволяющий запускать территориально разнесенные решения или локальные для распределения нагрузки и при некоторых знаниях он отлично предоставляет различную информацию (логины, пароли и далеко не только это) для почтовых сервисов, телефонии freeswitch и т.п.
>Ты че, местный дурачек чтоли?да, здесь периодически появляются такие кадры.
OpenLDAP использует Wine, и этого достаточно.
каким боком ты приплёл Wine сюда?
Есть ли вообще какие-нибудь хорошие туторы, гайды, видосы хотя бы или доки на ЭТО? Чтобы от "что такое" до "как настроить". Самый мистический софт из всего на планете. Адская нотация, секретные схемы, в стороннем софте, который "поддерживат интеграцию с LDAP", чаще "наш софт поддерживает, вот опция ВКЛ, остальное, раз вы умеете ЛДАП, вы и так поймёте".
Если что, я перечитал уже сотню статей типа, "что такое сферический DAP в вакууме, смотрите, вот у нас орг и людишки, какая красота, вот и всё, ребята!" и видосов от индусов.
Прошу простить, а как же ещё?Вас же не смущает, что вместе с поставкой SQL-сервера не идёт схемы данных, рассчитанной конкретно под вашу задачу?
> Вас же не смущает, что вместе с поставкой SQL-сервера не идёт схемы
> данных, рассчитанной конкретно под вашу задачу?Меня не смущает, что под SQL есть столько малоустаревающей информации, что хватит на бумажную библиотеку. А также достаточно apt install wtfsql и какой-нибудь клиентской утилиты типа phpMyAnus или вообще виндовой IDE для визуального администрирования. phpLDAPAdmin я смотрел, он загнулся.
Самое лучшее из того, что приходилось читать - это 'Mastering OpenLDAP: Configuring, Securing, and Integrating Directory Services' by Mark Butcher, Packt Publishing, 2008 (без труда ищется в Сети)После этой книги настраивать и использовать сервер LDAP становится не сложнее, чем SQL-сервер (в самом начале автор, кстати, указывает на сходство обеих технологий - они пусть и не родные братья, но двоюродные: и то и то - базы данных, просто чуть по-разному организованы -таблицы vs перевернутое дерево - а в результате и синтаксис запросов несколько отличается). Одно "но" - настройка сервера в книге выполняется старым методом, через slapd.conf. С тех пор кое-что изменилось, сейчас рекомендуется использовать метод cn=config. Так что в дополнение к книге желательно почитать еще что-нибудь, напр. главу 5 из "Administrator's Guide" с официального сайта, или раздел по OpenLDAP из Ubuntu Server Guide - после книги разобраться в этом будет уже нетрудно.
Да, и клиентскую часть сейчас рекомендуют настраивать через sssd, не через pam-ldap (доки можно найти, напр., на сайте RedHat (RHEL 7, подробно) или в том же Ubuntu Server Guide (кратенько))
>Чтобы от "что такое" до "как настроить"после изобретения nosql-ей с репликацией, отказоустойчивостью и нормальным json-ом внутри *лдап-пoделки стали не нужны.
Нет."LDAP-поделки" станут не нужны сразу после изобретения noSQL-ей с константным временем доступа.
>"LDAP-поделки" станут не нужны сразу после изобретения noSQL-ей с константным временем доступа.прям ldap-пoделки гарантируют realtime отзывчивость? редис такого же куцего размера наверняка не медленнее. хотя он далеко не самый быстрый. и туда ещё писать можно.
с чем можно согласиться, так с тем, что ACLи у лдапа гибче настраиваются. в остальном - прошлое тысячеление
> после изобретения nosql-ей с репликацией, отказоустойчивостью и нормальным json-ом внутри
> *лдап-пoделки стали не нужны.простите, вы БД с директорией не путаете? LDAP это про больше про централизацию доступа, чем про хранение данных.
В LDAP можно поместить все что захочешь. Опиши свою схему SCHEMA (типа полей в таблице SQL БД) и ложи туда любые данные в соответствии с описаными полями.
шли годы... постили одни и те же вопросы))
здесь на сайте описание видел
Есть целый сайт, посвященный ЛДАП на русском и есть перевод LDAP для ученых-ракетчиков.
В принципе легко поднимается на уровне сервера каталогов с мастер-мастер или мастер-слейв репликацией за день.Вот сайт - https://pro-ldap.ru/
> Вот сайт - https://pro-ldap.ru/Спасибо за напоминание. Когда последний раз смотрел, вышел новый ЛДАП, который хранил настройки сам в себе, а на сайте инфа была устаревшей. Ну, и вообще там таким языком написано как в профессуре на кафедре :) или переведено с ынглиша из какого-нить RFC (нет, я не фанат смузихабра).
Сейчас поглядел - вроде, жизнь есть, инфу обновили. Интересно.
в OpenLDAP ничего принципиально не поменялось. Раньше схемы хранились в файле, а теперь в самом каталоге... "cn=config"
В 2.6 конфиги таки оставили.
> В 2.6 конфиги таки оставили.Конфиг сильно неудобен - рестартовать надо сервер когда схему меняешь, репликации добавляешь, убираешь. Вообще cn=config значительно более юзабельный.
Конфиг удобен тем, что его проще заливать ансиблом без головняка с приведением cn=config к нужному виду из того состояния, в котором он находится в текущий момент.
А рестарт - не проблема: снял bgp-анонс, приземляющий траффик на инстанс (или просто закрылся от health-чеков, прилетающих от роут-контроллера), и делать с ним дальше что хочешь, а пяток других инстансов, раскиданных по датацентрам, продолжат молотить нагрузку.
> Конфиг удобен тем, что его проще заливать ансиблом без головняка с приведением
> cn=config к нужному виду из того состояния, в котором он находится
> в текущий момент.
> А рестарт - не проблема: снял bgp-анонс, приземляющий траффик на инстанс (или
> просто закрылся от health-чеков, прилетающих от роут-контроллера), и делать с ним
> дальше что хочешь, а пяток других инстансов, раскиданных по датацентрам, продолжат
> молотить нагрузку.Мюсье знает толк в извращениях... Как в первом так и втором случае.
В первом - файловые конфиги таскать если несколько OpenLDAP в мирроре стоят это то еще извращение. Да и для приведения к cn=config есть slapcat. Подозреваю что мюсье не умеет в LDIF? Добавить, удалить, изменить отдельную запись, отдельное значение атрибута?
Во втором - A record назначен на N зеркальных серверов OpenLDAP при падении одного - запросы забирают другие.
Можно DNS записи запихнуть в LDAP и временно ограничивать выдачу неработающего DNS. На клиентах, конечно, DNS кэш подгаживает с TTL адреса, но в продуктиве практика показывает что это не выводит систему в "аварийное" функционирование.
А bgp дергать это из оперы, появляющейся на opennet в новостях об отвале частей глобальных сетей.
> В первом - файловые конфиги таскать если несколько OpenLDAP в мирроре стоят это то еще извращение.В чем извращение? В том, чтобы накатить ansible-плейбук с 5-ю тасками?
> Да и для приведения к cn=config есть slapcat
Зачем мне идти и что-то тащить с другого сервера, если у меня есть система управления конфигурацией с референсным конфигом в git-е?
> Подозреваю что мюсье не умеет в LDIF?
Проблема не в том, что нужно "уметь в LDIF" (было бы что там уметь, чай не rocket science), а в том, что накатка конфига - идемпотентная операция, а применение LDIF-а с кучей записей - нет (если, конечно, у тебя LDIF не начинается с того, что удаляет все записи в каталоге).
> Во втором - A record назначен на N зеркальных серверов OpenLDAP при падении одного - запросы забирают другие.
А потом у тебя появляется клиент, который так не умеет. Либо умеет, но плохо. Балансировки через DNS round-robin - это либо для самого-самого верхнего уровня системы распределения трафика (например, сделать round robin из двух адресов, анонсируемых пулом балансировщиков нагрузки), либо для откровенно колхозных систем.
> А bgp дергать это из оперы, появляющейся на opennet в новостях об отвале частей глобальных сетей.
Волков бояться - в лес не ходить.
Во-первых, то того, что кто-то сломал у себя (и у соседа) BGP не значит, что самим протоколом пользоваться не нужно, просто нужно опасные глобальные изменения проводить с должной осторожностью, ну и не давать кому попало возможность эти изменения совершать.
Во-вторых, в вопросе приземления трафика на серверы, разумеется, не надо делать такую систему, что неправильным конфигом на серваке с openldap можно поломать связность AS. Это как раз легко достигается выносом работы с BGP на route controller-ы (типа exabgp) в руках квалифицированных инженеров, а информация об актуальности next-hop-ов уже управляется контроллером на основе healthcheck-а этого самого nexthop-а. В итоге сервер с сервисом, выступающий nexthop-ом сломать может максимум себя, а не весь сервис, не говоря уже про роутинг в сети целой компании или её соседей.
> "что такое"NoSQL СУБД со строгой типизацией на основании схем и древовидной организацией данных.
Насколько я помню, Calculate делает свой домен на OpenLDAP. Ну и AstraLinux поди тоже.
Подскажите пожалуйста, чем реализовать такую штуку:
ldap proxy принимающий bind в PLAIN и транслирующий как bind с DIGEST-MD5 ?
OpenLDAP умеет прокси в AD, но бинды транслирует как есть.
c ldaps и startls не хочется связываться, т.к. лютый гемор с распедаливанием сертификатов.
Хочется запилить такой прокси и ставить рядом с сервисами не умеющими DIGEST-MD5 (openfire например) чтоб ходить в AD
Делай через SASL-схему у паролей и проверку его через saslauthd
больше 10 лет живёт в домашней сети в связке с Kerberos как SSO, и NFS, посление годы NFS4 с криптографией - как файлового сервера и хранилища домашх каталогов для терминалок. Также гут будет жить и в офисе человек на пару сотен ... старенькое, уже начал забывать, как развёртывается. Но это недолго вспомнить. Долгих лет проекту
пару сотен говорите ? :)
Лет 15 назад у нас openldap на 150,000 юзверей работал и не жужжал , бежал тогда на Сане Т2000 .
Причем там были не только user/pass , мы группами регулировали доступ к фолдерам на вебе.
> Причем там были не только user/pass , мы группами регулировали доступ к
> фолдерам на вебе.Круто. Это апач/самба/acl?
насколько помню , база была в основном на :
https://httpd.apache.org/docs/2.4/mod/mod_authnz_ldap.htmlПотом на мод перле я переписал часть , чтобы не "Basic auth" , а как у взрослых :)
> The older style slapd.conf(5) file is still supportedА разговоров-то было.