beginer: openLDAP v 1.2

Krištof Petr Petr na Kristof.CZ
Pondělí Leden 14 10:12:54 CET 2002 

Dan Ohnesorg wrote:

> 
> Druha pulka je konfigurace redhatu, aby v tom autorizoval uzivatele.
> Naimportoval jsem ~3000 uzivatelu na masinu pentium 75, 24 MB RAM,
> nejaky 5400 ot disk.

Tak tomuhle ja rikam nedotcenost pokrokem :-) Minimalni konfiguraci
odhaduji na procesor > 500 Mhz a pamet > 128 MB aby to vubec jelo.
Vzhledem k tomu, jak efektivne ruzne programy pristupuji k ldap,
bych se vubec nebal dat tam neco 3x silnejsiho.

> Nalezeni adresy kdyz znate jmeno trva na tomhle
> stroji asi tak 2 vteriny. Prihlaseni uzivatele do systemu, kdyz se
> uzivatel overuje v LDAPu, trva 30-70 vterin. Co je ale nejhorsi je, ze
> to takle dlouho trva i rootovi, ktery je definovan v
> lokalnim /etc/passwd a v nssswitch.conf ma definovanou
> prioritu lokalnich souboru nad ldapem. 

Podivat se na poradi pam modulu v system-auth stacku?
Chova se to fakt divne.

> Vubec mi neni jasne, proc
> se to takle chova. Nez vylistujete adresar, kde patri soubory
> ruznym lidem z LDAP, tak si muzete uvarit kafe. Zapnul jsem nscd, aby se
> mi to cachovalo lokalne a ackoliv podle debugu hituju
> do cache, v rychlosti se to prakticky neprojevi. To me tedy
> vylozene zklamalo. Neprisel jsem na to, jak nadefinovat vice autorizacnich
> serveru, aby v pripade vypadku hlavniho nelehla cela sit.

Replikaci master serveru na jednotlivy masiny, ktere pak jedou
dotazy samy na sebe?

> 
> Jinak samozrejme ma to i mnoho vyhod a pomalost se da resit silnym
> strojem. Z vyhod se me osobne libi moznost delegovat prava k nekterym
> castem stromu na jine osoby, bez toho aby mely pristup ke vsem uzivatelum.
> Dobre se tim synchronizuji hesla mezi vice masinami a nebo mezi sambou a
> lokalnimi ucty. Pokud mate uzivatele, kteri se nemohou prihlasovat
> lokalne, muzete velmi snadno napsat webovske rozhranni, ktere umozni menit
> jim hesla bez nejakych SUID obezlicek. Da se podle toho dorucovat posta.
> Je mozne do toh nacpat libovolnou informaci, ktera Vas napadne, kdyz
> patchnete nektere programy, mohou si tam cist konfiguraky misto s ~/....

Presne tak. Dneska uz prakticky neexistuje program, ktery by neumel
jet proti ldap.

> 
> Poslednim bodem je prakticka neexistence nejakych administrativnich
> nastroju. K LDAPu jsme pristupoval zhyckan novellem, takze jsem mozna
> prilis kriticky, ale zadny nastroj, ktery jsem nasel na siti neni ve
> vyssim stadiu nez rana beta a uz vubec zadny neumi ani 10% toho co
> nwadmin.
> 

Gq neni spatnej, ale nepodporuje UTF-8 a vyvoj nejak usnul.
Directory Administrator je dobrej, ale moc multimedialni.
Zajimavej by casem mohl byt KDirAdm.


pk

Další informace o konferenci Linux