beginer: openLDAP v 1.2

Dan Ohnesorg Dan na feld.cvut.cz
Neděle Leden 13 20:20:02 CET 2002 

On Sun, Jan 13, 2002 at 09:45:40AM +0100, Michal Dobes wrote:
> Pavel Janík wrote:
> > 
> > ;-) Třeba sem Dan Ohnesorg napíše, co dělá Red Hat Linux 7.2 když je
> > nakonfigurován tak, že má vše v LDAPu. Zkusím ho přemluvit ;-)
> 
> Daji se v tom ocekavat nejake zasadni tezkosti? At clovek vi, kolik
> tun kafe si ma pripravit.

No tohla otazka ma dve poloviny. Rozbehnuti ldap serveru celkem jde.
Budete se topit v dokumentaci, ktere jsou sice tuny, ale
je katastrofalne nekonzistentni a obsahuje spoustu chyb. Ale da se to.
Nektere veci si krome toho musi clovek dodelat
sam. Pokud napr. vezmete vsechna schemata dodavana s
openldap a reknete si, dam je tam vsechna,
at mam pokoj a nemusim nic pridavat, tak pohorite, protoze jsou vzajemne
konfliktni a musi se to upravovat. Schemat pro samba ucty je asi pet a ani
jedno mi nevyhovuje. 

Nicmene pomerne rychle jsem to dostal do stavu, kdy jsem tam mohl vlozit
uzivatele a pripojit na to outlook, aby si v tom vyhledaval adresy.

Druha pulka je konfigurace redhatu, aby v tom autorizoval uzivatele.
Naimportoval jsem ~3000 uzivatelu na masinu pentium 75, 24 MB RAM,
nejaky 5400 ot disk. Nalezeni adresy kdyz znate jmeno trva na tomhle
stroji asi tak 2 vteriny. Prihlaseni uzivatele do systemu, kdyz se
uzivatel overuje v LDAPu, trva 30-70 vterin. Co je ale nejhorsi je, ze
to takle dlouho trva i rootovi, ktery je definovan v
lokalnim /etc/passwd a v nssswitch.conf ma definovanou
prioritu lokalnich souboru nad ldapem. Vubec mi neni jasne, proc
se to takle chova. Nez vylistujete adresar, kde patri soubory
ruznym lidem z LDAP, tak si muzete uvarit kafe. Zapnul jsem nscd, aby se
mi to cachovalo lokalne a ackoliv podle debugu hituju
do cache, v rychlosti se to prakticky neprojevi. To me tedy
vylozene zklamalo. Neprisel jsem na to, jak nadefinovat vice autorizacnich
serveru, aby v pripade vypadku hlavniho nelehla cela sit. 

Jinak samozrejme ma to i mnoho vyhod a pomalost se da resit silnym
strojem. Z vyhod se me osobne libi moznost delegovat prava k nekterym
castem stromu na jine osoby, bez toho aby mely pristup ke vsem uzivatelum.
Dobre se tim synchronizuji hesla mezi vice masinami a nebo mezi sambou a
lokalnimi ucty. Pokud mate uzivatele, kteri se nemohou prihlasovat
lokalne, muzete velmi snadno napsat webovske rozhranni, ktere umozni menit
jim hesla bez nejakych SUID obezlicek. Da se podle toho dorucovat posta.
Je mozne do toh nacpat libovolnou informaci, ktera Vas napadne, kdyz
patchnete nektere programy, mohou si tam cist konfiguraky misto s ~/....

Poslednim bodem je prakticka neexistence nejakych administrativnich 
nastroju. K LDAPu jsme pristupoval zhyckan novellem, takze jsem mozna
prilis kriticky, ale zadny nastroj, ktery jsem nasel na siti neni ve
vyssim stadiu nez rana beta a uz vubec zadny neumi ani 10% toho co 
nwadmin. 

Protoze pristi verze samby se budou posouvat smerem k LDAP tak doufam, ze
se LDAP docka lepsi podpory a bude trochu dokompletovan. Zatim mi to
prijde jako neco, co je sice globalne funckni, ale predpoklada to,
ze uzivatel se to cele uz nekde naucil a ted jen zmenil platformu/server.

Zatim jsem to do realneho provozu nedal. Jen si s tim hraju a cekam, co se
bude dit.

zdravim
dan

-- 
                    ________________________________________
DDDDDD             
DD   DD                Dan Ohnesorg, supervisor on POWER     
DD  OOOO               Dan na feld.cvut.cz
DD OODDOO              Dep. of Power Engineering
DDDDDD OO              CTU FEL Prague, Bohemia
   OO  OO              work: +420 2 24352785;+420 2 24972109
    OOOO               home: +420 311 679679;+420 311 679311
                    ________________________________________

Dopisoval bych si rad s divkou.
  Zn. Negramotnost neni na zavadu.

Další informace o konferenci Linux