The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Релиз LDAP-сервера ReOpenLDAP 1.2.0"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от opennews (??), 08-Сен-22, 22:17 
Опубликован формальный выпуск LDAP-сервера ReOpenLDAP 1.2.0, сформированный для воскрешения проекта после блокирования его репозитория на GitHub. В апреле GitHub удалил учётные записи и репозитории многих российских разработчиков, связанных с компаниями, попавшими под санкции США, включая репозиторий ReOpenLDAP. В связи с возрождением интереса пользователей к ReOpenLDAP проект решено вернуть к жизни...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57753

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –10 +/
Сообщение от Аноним (1), 08-Сен-22, 22:17 
>Задействована актуальная версия autotools 2.71.

Неужели вам самому не надоело это тормознутое и крайне неудобное в использовании говно? Почему не CMake?

Ответить | Правка | Наверх | Cообщить модератору

2. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +5 +/
Сообщение от Аноним (2), 08-Сен-22, 22:21 
Ты в своём уме? Я ещё могу понять вопрос "почему не месон", а "почему не цмейк" -- это очевидно, зачем он там?
Ответить | Правка | Наверх | Cообщить модератору

3. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +8 +/
Сообщение от erthink (ok), 08-Сен-22, 22:36 
На autotools мухи сели симметрично, жалко сгонять ;)
Ответить | Правка | Наверх | Cообщить модератору

86. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –1 +/
Сообщение от истина в последней инстанции (?), 09-Сен-22, 23:44 
Не гони тупости. Нормально autotools работают. Не осилятарам там не место. Иди в стоило к остальный iGoGo

Но CMake конечно получше.

Ответить | Правка | Наверх | Cообщить модератору

89. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от erthink (ok), 09-Сен-22, 23:48 
> Не гони тупости. Нормально autotools работают. Не осилятарам там не место. Иди
> в стоило к остальный iGoGo
> Но CMake конечно получше.

Хм, так вы считаете что мухи сели таки не симметрично?

Пойду проверю...
;)

Ответить | Правка | Наверх | Cообщить модератору

4. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –1 +/
Сообщение от Аноним (4), 08-Сен-22, 23:01 
Затем что это на данный момент стандарт де-факто среди систем сборки.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

5. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –4 +/
Сообщение от Аноним (4), 08-Сен-22, 23:04 
Ну тут проект специфический. Правильный вопрос - кому в здравом уме может понадобиться LDAP, а ответ - потому что легаси. Вот и тут autotools - легаси, которое менять на что-то требует вложений.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

11. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +4 +/
Сообщение от abu (?), 09-Сен-22, 01:26 
Можно, например, вести справочник электронной почты централизовано в LDAP, чтобы клиенты, подключаясь, имели актуальный список, а для Самбы - юзеров для самбового домена, группы и пр. Это все делал, работает достаточно хорошо. Даже для ftp-сервера как-то прикручивал учетки через LDAP, тоже удобно.

Можно вести тех же юзеров для почтового сервера, правда, не вел никогда.  

А вот зачем именно в LDAP держать 100 млн записей - я представить не могу, узко мыслю.

Ответить | Правка | Наверх | Cообщить модератору

14. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –7 +/
Сообщение от Ivan_83 (ok), 09-Сен-22, 03:49 
Есть годные протоколы и у них куча реализаций от школьных до энтерпрайзных и есть вот такие оверинженеред монстры как DAP, LTE и прочий шлак который сделали упоротые для самих себя и то кое как.

Если вам нужна авторизация - заведите таблицу в базе данных или положите файлами на ФС по папочкам, и получите как лдап и иерархию и разные доступы и тп.

Ответить | Правка | Наверх | Cообщить модератору

48. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +1 +/
Сообщение от abu (?), 09-Сен-22, 09:54 
> Есть годные протоколы и у них куча реализаций от школьных до энтерпрайзных
> и есть вот такие оверинженеред монстры как DAP, LTE и прочий
> шлак который сделали упоротые для самих себя и то кое как.
> Если вам нужна авторизация - заведите таблицу в базе данных или положите
> файлами на ФС по папочкам, и получите как лдап и иерархию
> и разные доступы и тп.

Не знаю, радоваться мне или грустить, но сейчас мне все это не нужно. И уж точно не буду я в БД иерархии разводить, когда есть нормальное решение. Ваш подход не отрицаю, мб, я устарел и тупо не могу понять такую радость =на ФС по папочкам=.

А вот когда мне нужна была авторизация - я сделал именно то, о чем написал выше. Все отлично работало и работает. Разве что в Самбе в 2003 году пришлось поскакать, документирование было ни к черту, 3-я Самба только-только, насколько помню, начиналась, но, когда все настроилось, у меня получился вполне себе домен, правда, в ту пору, без групповых политик. Проработал он 6 лет в офисе на 100 - 150 человек.

Также, LDAP поддерживается в Active Directory, например, так что вряд ли все это =для самих себя= и =упоротое=.

Ответить | Правка | Наверх | Cообщить модератору

57. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +1 +/
Сообщение от bOOster (ok), 09-Сен-22, 10:38 
Active Directory НА ОСНОВЕ LDAP построен - это его основа!
Ответить | Правка | Наверх | Cообщить модератору

70. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от abu (?), 09-Сен-22, 11:27 
> Active Directory НА ОСНОВЕ LDAP построен - это его основа!

Я перед тем, как написать, прочитал такое:

=
Коротко говоря: AD - это база данных служб каталогов, а LDAP - один из протоколов, которые вы можете использовать для общения с ней. LDAP - это протокол, а Active Directory - это сервер.
=

// https://wiki.merionet.ru/servernye-resheniya/40/chto-takoe-a.../

Все врут? Или все же есть разница? То есть - суть вашего капслока понятна. Но разница все же есть, насколько могу судить.

Ответить | Правка | Наверх | Cообщить модератору

71. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +2 +/
Сообщение от erthink (ok), 09-Сен-22, 11:39 
> Я перед тем, как написать, прочитал такое:
> Коротко говоря: AD - это база данных служб каталогов, а LDAP -
> один из протоколов, которые вы можете использовать для общения с ней.
> LDAP - это протокол, а Active Directory - это сервер.

Не то чтобы врут, но искажают.

Чуть раньше Novell взяла LDAP, напихала туда фичей и собственных велосипедов, а потом назвала "Novell Directory Service".

В M$ испугались что "мопед не их", напихала туда-же еще большую кучу несовместимых велосипедов, придумали массу оголтелой виндовой специфики и назвали это Active Directory.
Потом еще 20 лет латали, скрещивали с Kerberos, чинили и переделывали весь этот кошмар.

Сейчас Active Directory снаружи выглядит неплохо (внутри лучше не смотреть), но уже всплыло более десятка дыр (захват домена, получение привилегий и т.п.) и только незнающий даст гарантию что там нет еще одного десятка...

Упрощенно LDAP + маркетинг = Active Directory.

Ответить | Правка | Наверх | Cообщить модератору

72. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от abu (?), 09-Сен-22, 12:28 
>> Я перед тем, как написать, прочитал такое:
>> Коротко говоря: AD - это база данных служб каталогов, а LDAP -
>> один из протоколов, которые вы можете использовать для общения с ней.
>> LDAP - это протокол, а Active Directory - это сервер.
> Не то чтобы врут, но искажают.

Понятно, спасибо! В целом, использовал LDAP в линуксе, все нормально, всем доволен. Кидаться чем попало в его сторону не могу исходя и зопыта (: Мб, конечно, есть сейчас альтернатива, времени-то будь здоров прошло. Но, если есть, интересно было бы узнать.


Ответить | Правка | Наверх | Cообщить модератору

81. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +1 +/
Сообщение от bOOster (ok), 09-Сен-22, 20:02 
>> Active Directory НА ОСНОВЕ LDAP построен - это его основа!
> Я перед тем, как написать, прочитал такое:
> =
> Коротко говоря: AD - это база данных служб каталогов, а LDAP -
> один из протоколов, которые вы можете использовать для общения с ней.
> LDAP - это протокол, а Active Directory - это сервер.
> =
> // https://wiki.merionet.ru/servernye-resheniya/40/chto-takoe-a.../
> Все врут? Или все же есть разница? То есть - суть вашего
> капслока понятна. Но разница все же есть, насколько могу судить.

Ну пусть озвучат какие ЕЩЕ протоколы можно использовать для доступа к ActiveDirectory..
Хотя нет, не надо, описалово похоже на то, что студента, который абсолютно в этом не рубит - заставили написать "Что такое ActiveDirectory"

Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

104. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от abu (?), 10-Сен-22, 11:05 
>[оверквотинг удален]
>> Коротко говоря: AD - это база данных служб каталогов, а LDAP -
>> один из протоколов, которые вы можете использовать для общения с ней.
>> LDAP - это протокол, а Active Directory - это сервер.
>> =
>> // https://wiki.merionet.ru/servernye-resheniya/40/chto-takoe-a.../
>> Все врут? Или все же есть разница? То есть - суть вашего
>> капслока понятна. Но разница все же есть, насколько могу судить.
> Ну пусть озвучат какие ЕЩЕ протоколы можно использовать для доступа к ActiveDirectory..
> Хотя нет, не надо, описалово похоже на то, что студента, который абсолютно
> в этом не рубит - заставили написать "Что такое ActiveDirectory"

Честно сказать - пусть делают, что хотят. Пишут, капслоки включат, гомонят. Моя позиция простая - дело было в свое время сделано, дело проработало 6 лет, а была бы жива фирма - и до сих пор бы работало, там где работает, я там не меняю ничего на что-то совершенно другое.

Ответить | Правка | Наверх | Cообщить модератору

90. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –3 +/
Сообщение от Ivan_83 (ok), 10-Сен-22, 01:26 
Разница в подходе.

Вы администратор, которому нужно 100500 юзеров обслужить и свалить домой и чтобы потом ещё не звонили что всё сломалось, срочно вали и починяй.
Поэтому вы возъмёте вендовый домен или его клон на опенсорце.

У меня нет задачи удовлетворть вчера 100500 пользователей и завтра продолжить их ублажать и я смотрю на это всё с точки зрения "лучше день потерять зато за 5 минуть долететь".
Я могу потратить время на эксперименты и сделать решение масштабируемое и такое чтобы оно было обслуживаемым.

DAP = directory access protocol.
Иными словами оно для доступа к директориям, дальше воспоминаем что директории есть на обычной ФС и ходить туда можно много чем.
Но раз речь про авторизацию простую была, то это примитивная выборка из БД.


При этом что там творится внутри AD / LDAP я понятия не имею, подозреваю что там слоистые нагромождения легаси лет за 30.
И новости про захват домена это только вершина айсберга от людей которые стали разбиратся что это за фигня такая и как оно на самом деле работает.
Вы же наверняка никогда не лазали по внутренностям LDAP и не разбирались что там и зачем.
Если оно сломается или его отвандалят максимум что вы с этим сделаете - равернёте из бэкапа.

Это совершенно не тот уровень понимания технологии с которым комфортно работать лично мне.
Я за упрощение и работу на современном стёке технологий, без чёрных ящиков.

И как вы могли понять, никто не берёт лдап и прочие подобные вещи когда надо обслужить не 100-150 рабомест а тысячи-миллионы, все пишут с нуля или основательно перепиливают.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

105. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от abu (?), 10-Сен-22, 11:15 
Все это отлично, в самом деле, без иронии. По вашей цитате:

=
Иными словами оно для доступа к директориям, дальше воспоминаем что директории есть на обычной ФС и ходить туда можно много чем.
Но раз речь про авторизацию простую была, то это примитивная выборка из БД.
=

что предлагаете конкретно? Готовые решения (в них ведь тоже я особо не глядел, мало ли что с безопасностью)? Самому писать (тут и вовсе с безопасностью всякое может выйти)?

Про адресные книги тоже речь была - с чем интегрировать, например, Thunderbird?

Также, подозреваю, что directory, скорее всего, это каталоги в LDAP, не в файловой системе. Но тут даже начинать спорить либо разбираться - не хочется (:


Ответить | Правка | Наверх | Cообщить модератору

107. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –2 +/
Сообщение от Ivan_83 (ok), 10-Сен-22, 19:02 
Предлагаю юзать всё что угодно только не LDAP, в том числе написать свои велосипеды.
Ответить | Правка | Наверх | Cообщить модератору

115. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +1 +/
Сообщение от bOOster (ok), 11-Сен-22, 10:20 
>[оверквотинг удален]
> Вы же наверняка никогда не лазали по внутренностям LDAP и не разбирались
> что там и зачем.
> Если оно сломается или его отвандалят максимум что вы с этим сделаете
> - равернёте из бэкапа.
> Это совершенно не тот уровень понимания технологии с которым комфортно работать лично
> мне.
> Я за упрощение и работу на современном стёке технологий, без чёрных ящиков.
> И как вы могли понять, никто не берёт лдап и прочие подобные
> вещи когда надо обслужить не 100-150 рабомест а тысячи-миллионы, все пишут
> с нуля или основательно перепиливают.

Писал уже раз, с текущей позицией - что ты тут накалякал - тереби локалхост на домашней системе...


Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

23. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –4 +/
Сообщение от Аноним (23), 09-Сен-22, 06:38 
Самба давно протухла. Точнее, с самого начала.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

50. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от abu (?), 09-Сен-22, 10:01 
> Самба давно протухла. Точнее, с самого начала.

Нет, не протухла. Буквально пару лет назад, когда столкнулся с тем, что одни версии винды не понимают шары других версий винды, разбираться долго не стал, что там у них не так, ведь в виндах семь пятниц на неделе. Поставил Самба-сервер, настроил шары, корзинку, бэкапы по хардлинкам. Все винды, от XP до =десятки= тотчас угомонились и стали с Самбой работать, жить-поживать и добра наживать.

То была 4-я Самба.

А сейчас у меня, на другой работе, стоит 3-я Самба, ей 10 лет. Авторизация простая, без LDAP, живет, не тужит.

Но сам лично я уважаю LDAP за то, что можно настроить, как и говорил, почтовый справочник для всех почтовых клиентов, кто умеет в LDAP. Там будет тебе и поиск по адресу, и телефон можно посмотреть, и сотрудника и вообще. Все централизовано, удобно.  

Ответить | Правка | Наверх | Cообщить модератору

91. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Ivan_83 (ok), 10-Сен-22, 01:30 
Самба и всё АД превратилось в аттавизм с трудной поддержкой.

У нас дома сейчас нет самбы, и никто не заметил что её не стало.
Обычным людям хватает браузера для ВСЕГО, у меня sshfs дополнительно рулит, я его даже патчю для своих нужд :)

Ответить | Правка | Наверх | Cообщить модератору

103. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от abu (?), 10-Сен-22, 11:00 
Спорить про АД не буду - мне с него нечего взять, но то, что вся ФНС стоит на АД - факт (мб, что-то там начнут менять сейчас - не знаю). Это, конечно, не довод в разговоре, просто вспомнилось былое.

С Самбой у меня все просто - кому надо меняться файлами внутри корпоративной сетки, имеют учетку да и все. Юзерская папка уже тем хороша, что что-нибудь да отбэкапится, а потом найдется, а все остальное - там вертятся, как правило, бухгалтера с экономистами.

Считаю, что чем меньше браузера в работе, тем лучше, но это совсем другая история.

Ответить | Правка | Наверх | Cообщить модератору

108. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Ivan_83 (ok), 10-Сен-22, 19:06 
Да полно идиотов в это вляпалось и теперь будут платить мзду МС за обслуживание. В этом и есть их бизнес.

Браузер означает что у вас все важные данные лежат уже на серверах, а клиенсткое место упрощается до работы браузера.
Это пресловутые облака и снижение издержек на поддержку.

Ответить | Правка | Наверх | Cообщить модератору

13. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +4 +/
Сообщение от Аноним (13), 09-Сен-22, 03:23 
> кому в здравом уме может понадобиться LDAP

А что сейчас используют, чтобы держать в организации тысячи учеток, которые используются для доступа к десяткам разных внутренних сервисов?

У нас для этого LDAP, но может быть мы отстали от жизни. Как бы вы это сделали?

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

15. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –7 +/
Сообщение от Ivan_83 (ok), 09-Сен-22, 03:53 
А что по вашему использует гуглаг, мордоркнига, трёппер, вкунтакте, мылосру и прочие?
Никто DAP/LDAP не насилует, это история для малого бизнеса и то скорее про то как сфейлится, ибо сидеть на венде и вот этом всём можно в малых масштабах и то с трудом.

Что такое 10к записи и 50к чтения для фс или базы данных? - обычная рутина, никакого подвига.

Ответить | Правка | Наверх | Cообщить модератору

17. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +4 +/
Сообщение от Аноним (13), 09-Сен-22, 05:00 
Так и что используют для внутренних аккаунтов сотрудников? Еще раз, задача: у организации свои сервера с кучей нужных для работы сервисов с авторизацией по общей базе пользователей, разные веб-приложения, почта, логин в Линукс на рабочих станциях... Чем для этого плох LDAP? Его поддерживает примерно все, в любом нужном сервисе прописываешь свой LDAP — и готово, все могут заходить под своей существующей учеткой, все работает с минимумом усилий. В чем смысл этим не пользоваться?
Ответить | Правка | Наверх | Cообщить модератору

28. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –6 +/
Сообщение от Ivan_83 (ok), 09-Сен-22, 08:30 
Я уже сказал: DAP - на свалку истории. Он бы там и был, если бы не венда и ещё пара бигкорпов которые этот хлам тянут.
Ответить | Правка | Наверх | Cообщить модератору

66. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от InuYasha (??), 09-Сен-22, 11:10 
Мы не спрашиваем, "что не используют", мы спрашиваем, что используют.
Ответить | Правка | Наверх | Cообщить модератору

92. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –2 +/
Сообщение от Ivan_83 (ok), 10-Сен-22, 01:34 
Без понятия что и кто использует.
У на на работе бардак и куча сервисов с независимыми учётками, мы антипример.

Но очевидно что лдап на больших масштабах никому не нужен, его по привычке юзают как бесплатную венду=АД на достаточно мелких сетях (пара тыщ и даже сотка всё ещё мелкие в современном мире).

Ответить | Правка | Наверх | Cообщить модератору

101. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Прохожий (??), 10-Сен-22, 09:09 
>Но очевидно что лдап на больших масштабах никому не нужен

Тебя дважды спросили, чем заменить LDAP. А ты продолжаешь бубнить, что LDAP не нужен. Ты вообще читать умеешь?

Ответить | Правка | Наверх | Cообщить модератору

109. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Ivan_83 (ok), 10-Сен-22, 19:08 
А ты?
Я же написал: всё что угодно только не LDAP.
Есть технологии с которыми лучше не связыватся.
Конкретного убийцы лдап я не назову, мне тема не интересна.
Ответить | Правка | Наверх | Cообщить модератору

123. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Lefsha (ok), 12-Сен-22, 01:42 
> Я же написал: всё что угодно только не LDAP.

Анекдот - Папа где море знаешь?  Вот это про тебя.

Нет ничего КРОМЕ LDAP. Я быть может и использовал,
что-то другое стандартное, если бы оно было. НЕТУ.

Ответить | Правка | Наверх | Cообщить модератору

129. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –1 +/
Сообщение от Ivan_83 (ok), 12-Сен-22, 11:46 
Одмин страдалец :)

Нету - создай.
Не можешь сам - заплати другим или хотя бы займись созданием концепта на словах и его евангелизмом, авось кто то сделает.

Ответить | Правка | Наверх | Cообщить модератору

140. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Прохожий (??), 13-Сен-22, 06:20 
Настолько неинтересна, что ты на каждый пост отвечаешь? Ох и  🤡
Ответить | Правка | К родителю #109 | Наверх | Cообщить модератору

33. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +8 +/
Сообщение от Жироватт (ok), 09-Сен-22, 08:54 
Забей, он не знает. Его просто не подпускают к maintenance-серверам даже под конвоем.
Но как готов спорить, что (L)DAP - гуано. Как впрочем и всегда. Ыксперды опеннета - они такие.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

94. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +2 +/
Сообщение от Ivan_83 (ok), 10-Сен-22, 01:50 
Я уже давно не админ и админю только домашнюю инфраструктуру, и кое что на работе - но это не доработка манагемента.
Иметь дела с брендовыми серверами у меня желания нет даже за деньги.

К лдап у меня негативное отношение только потому что он крайне трудный в настройке, отладке и понимании что там происходит, очень не прозрачное решение.
Я имел опыт админства АД и админства всяких "интернет сервисов" от не мс, и меня сильно напрягает как вот этот АД базирующий на лдап лечится в случае проблем, и радует воркфлоу в опенсорце по поиску и устранению проблем.

Хоть я и старый по современным меркам, но ненавижу большинство старых поделий как в софте так и в протоколах, даже не смотря на распространённость таких поделок, и избегаю иметь дела с ними по жизни.
ISC DHCP, BIND, Apache, *LDAP* - нафиг!
Самбу я ещё терпел какое то время, потому что долго слезал с венды, но тоже реализация какой то фигни а не протокола.
Даже лайти мне кажется костыльным легаси на фоне нгинха.

Ответить | Правка | Наверх | Cообщить модератору

124. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Lefsha (ok), 12-Сен-22, 01:48 
> К лдап у меня негативное отношение только потому что он крайне трудный в настройке,

Да и что? Windows тоже то еще дерьмо... Но 99% им пользуется.
Хотя в случае Windows есть альтернативы. А вот в случае LDAP - нет.

Понятно, что можно написать свое решение хоть на SQL хоть на чем.
Но проблема в интеграции. LDAP интегрируется ВЕЗДЕ. SQL нигде.
Если писать все самому можно переехать. Но у кого на это есть деньги и время?

Что-то другое можно использовать для изолированной задачи.
Как только начинается интеграция на этом эксперименты заканчиваются.
Либо см выше.

P.S. Ваши слова похожи на слова ребенка. Вам бы вырасти немного..
В школу пойти... и далее по списку.

Ответить | Правка | Наверх | Cообщить модератору

128. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Ivan_83 (ok), 12-Сен-22, 11:27 
Есть радиус и нтлм которые можно прикрутить к SQL бэкенду довольно быстро через готовые либы.
https://github.com/FreeRADIUS/pam_radius
Сам фрирадиус тоже умеет в SQL из коробки, плюс там можно закостылить что угодно через perl или немного через unlang. Но я не люблю фрирадиус, его писали отбитые телефонисты, и наверное проще взять питон и там уже есть готовый пакет для радиус сервера и для работы с БД.


Если бы я слушал таких как вы - мир был бы хуже, уж для меня то точно.
Отсутствие годного решения это повод создать такое решение а не лепить костыли вокруг старья с плохим дизайном.

Лет 10 назад меня попросили замутить IPTV вещание. Сходу нагуглился updxy.
Потом к нему какие то костыли чтобы держать нагрузку больше полутора подключений.
Потом потребовалось ещё выплёвывать новому клиенту большой кусок сразу из буфера чтобы он не ждал пока ему очередной ключевой кадр через мультикаст накапает.
Можно было и дальше насиловать "индустриальный стандарт" которым давится весь мир, но я плюнул и запилил то что впоследствии стало msd, совсем другая архитектура, куча возможностей, хайлоад их коробки.


PS: судя по нику это ты тот отбитый вахтёр на джаббер канале про фрибсд который меня когда то выкинул когда мне нужна была помощь. :)

Ответить | Правка | Наверх | Cообщить модератору

93. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –1 +/
Сообщение от Ivan_83 (ok), 10-Сен-22, 01:37 
Я вам выше ответил, кратко: вы не понимаете как он работает внутри и не в состоянии оценить правильность его настройки, починить в случае неисправности, оценить безопасность настроек и возможные векторы атак.

Если бы вы просто прикрутили обычный RADIUS к обычной базе данных с табличкой: логин - пароль - права то получили бы сильно более простое и масштабируемое решение, которое легко поддерживать.
Про керберос я знаю мало потому промолчу.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

40. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +2 +/
Сообщение от erthink (ok), 09-Сен-22, 09:29 
> А что по вашему использует гуглаг, мордоркнига, трёппер, вкунтакте, мылосру и прочие?

Ну так просветите нас неграмотных ;)

> Никто DAP/LDAP не насилует, это история для малого бизнеса и то скорее
> про то как сфейлится, ибо сидеть на венде и вот этом
> всём можно в малых масштабах и то с трудом.

Записав что-то на медленную usb-флешку вы пытаетесь сделать вывод, что "пара поводов" (aka LVDS и т.п.) это "история для малого бизнеса".

> Что такое 10к записи и 50к чтения для фс или базы данных?
> - обычная рутина, никакого подвига.

Любопытно посмотреть как вы рутинно обеспечите 10K RPS с ACID в гео-распределенном кластере из 4 (2+2) узлов, на железе 10-летней давности ;)

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

95. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Ivan_83 (ok), 10-Сен-22, 01:54 
Явно не лдап испорченный мс.

Никак.
Я накидал архитектуру, а масштабировать в/в и бд - задача админов, довольно типовая.
Железо 10 летней давности - опять же не моя проблема, а скорее манагемента компании.
Будет компания покупать новое железо или сношать мозги админам чтобы нагуглили правильные настройки - их выбор.

Ответить | Правка | Наверх | Cообщить модератору

106. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +2 +/
Сообщение от erthink (ok), 10-Сен-22, 15:10 
> Я накидал архитектуру, а масштабировать в/в и бд - задача админов, довольно типовая.
> Железо 10 летней давности - опять же не моя проблема, а скорее манагемента компании.
> Будет компания покупать новое железо или сношать мозги админам чтобы нагуглили правильные настройки - их выбор.

Железо 10-лет ней давности ибо история началась ~10 лет назад, т.е. целевая платформа для  production - это Sandy Bridge на DDR3.

Ну и хотелось бы увидеть глаза админов, когда вы "поставите им задачу" отмасштабировать БД для 10kw+50kr с поддержкой мультимастер хотя-бы для 1+1 (не говоря о 2+2 или 4*fullmesh). Попробуйте.

Ах да, еще вишенка: при потере связности каждая часть кластера должна работать, в том числе принимать апдейты. А при восстановлении связности все должно смержится (last change wins), причем на ходу и без снижения рабочих нагрузок.

Проще говоря, вы рассуждаете о решении задачи, которую пока не представляете.

Короче, без обид, но https://anekdotov.net/anekdot/all/dznkkntktkstrtg.htm ;)

Ответить | Правка | Наверх | Cообщить модератору

110. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –1 +/
Сообщение от Ivan_83 (ok), 10-Сен-22, 19:11 
Раз админы БД не могут - положим на ФС отдельными файликами и будем ноды рсинком синхронизировать.
Или ещё что то найти, актуальное.

Несомненно я не представляю LDAP и как он там работает, но как работает авторизация я знаю и для этого лдап не нужен.

Ответить | Правка | Наверх | Cообщить модератору

113. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +2 +/
Сообщение от erthink (ok), 10-Сен-22, 19:43 
> Раз админы БД не могут - положим на ФС отдельными файликами и
> будем ноды рсинком синхронизировать.
> Или ещё что то найти, актуальное.
> Несомненно я не представляю LDAP и как он там работает, но как
> работает авторизация я знаю и для этого лдап не нужен.

Не хочу вас обижать, но вы сами пишите ваши ответы/комментарии...

Короче, очевидно что вы примерно вообще не поняли о чем речь (в частности про multimaster), и (соответственно) никогда рядом не стояли с решением подобных задач.

А если вам "не нравится" LDAP в составе 3GPP 23.335, то обращайтесь в https://www.3gpp.org/ или сразу пишите в спорлото ;)

Ответить | Правка | Наверх | Cообщить модератору

119. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –1 +/
Сообщение от Ivan_83 (ok), 12-Сен-22, 00:36 
Я жду когда телефонисты с их OSI семеуровневой сдохнут, так что ссылатся на них в качестве аргумента о нужности LDAP презабавно.
Они уже по сути со всем своим стёком выглядят устаревшим монстром, от которого нужен только функционал передачи данных как в вифи, а у них там зоопарк всякого.
Да, только LDAP им и правда не хватало.
Ответить | Правка | Наверх | Cообщить модератору

19. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Аноним (19), 09-Сен-22, 05:30 
NIS/yptools
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

24. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Аноним (23), 09-Сен-22, 06:38 
> А что сейчас используют, чтобы держать в организации

Шифровальщик?

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

26. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Брат Анон (ok), 09-Сен-22, 07:56 
В нормальных организация пользуют OpenID, OpenAuth.
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

43. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +1 +/
Сообщение от Вячеслав (??), 09-Сен-22, 09:41 
А как в OpenID или OpenAuth сделать поисковый запрос? К примеру по телефонному справочнику?
Ответить | Правка | Наверх | Cообщить модератору

126. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +4 +/
Сообщение от Брат Анон (ok), 12-Сен-22, 08:49 
> А как в OpenID или OpenAuth сделать поисковый запрос? К примеру по
> телефонному справочнику?

Рекомендую почитать что-нибудь про SOLID.

Ответить | Правка | Наверх | Cообщить модератору

55. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от InuYasha (??), 09-Сен-22, 10:31 
А как ты без LDAP заведёшь аккаунт в почте, вебке, самбе, впн и других сервисах? Будешь в каждом по 10 раз дрючить?
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

97. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Ivan_83 (ok), 10-Сен-22, 01:58 
Есть база данных, к ней можно подключить радиус и любые другие накорябать чтобы проверять пароль или отдавать.
Но администраторам сие не ведомо, это выше их понимания :)
Ответить | Правка | Наверх | Cообщить модератору

99. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –1 +/
Сообщение от aliechemail (?), 10-Сен-22, 02:55 
Зачем придумывать сущности, когда есть LDAP, который, фактически, является стандартом для организации структурированной бд под данные цели? Настоящий отраслевой стандарт.
Ответить | Правка | Наверх | Cообщить модератору

111. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +1 +/
Сообщение от Ivan_83 (ok), 10-Сен-22, 19:13 
Я помню как Билл Гейтс припёрся в москву и втирал что его мсдос и венда отраслевой стандарт и чем это кончилось.
Помимо прочего отраслевые стандарты устаревают и меняются, это тот случай когда лучше поискать что то другое, что проще админить.

Нужно выковыривать технологии МС а не цеплятся за них.

Ответить | Правка | Наверх | Cообщить модератору

102. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Прохожий (??), 10-Сен-22, 09:15 
LDAP и работает на основе базы данных. Только эта база данных не реляционная, а иерархическая. Ох уж эти мне эксперты диванные.
Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

112. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Ivan_83 (ok), 10-Сен-22, 19:13 
Давай, поадминь эту базу, а мы посмотрим.
Ответить | Правка | Наверх | Cообщить модератору

141. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Прохожий (??), 13-Сен-22, 06:28 
Админю. И?
Ответить | Правка | Наверх | Cообщить модератору

122. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Lefsha (ok), 12-Сен-22, 01:36 
> Правильный вопрос - кому в здравом уме может понадобиться LDAP

А что появилось что-то другое на этом свете? - Ты назови! Я жду (с) Покровские В.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

22. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Аноним (22), 09-Сен-22, 06:00 
Кому не удобное? С точки зрения пользователя это самая удобная и привычная система
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

121. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Lefsha (ok), 12-Сен-22, 01:34 
А разве есть что-то хуже CMAKE? Это же самое больше Г.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

10. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Admino (ok), 09-Сен-22, 01:01 
И резервное зеркало на abf.io.

Где-то тут должен порваться один нуби.

Ответить | Правка | Наверх | Cообщить модератору

12. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +2 +/
Сообщение от Аноним (12), 09-Сен-22, 02:56 
У меня вопрос к автору не троллинга ради, а просто интересно: когда в начале пути рассматривались открытые реализации LDAP смотрели ли на 389-ds от RedHat? Если да, то почему его за основу не взяли? Есть вообще про него какие-нибудь комментарии?
Ответить | Правка | Наверх | Cообщить модератору

31. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +3 +/
Сообщение от erthink (ok), 09-Сен-22, 08:49 
> У меня вопрос к автору не троллинга ради, а просто интересно: когда в начале пути рассматривались открытые реализации LDAP смотрели ли на 389-ds от RedHat?

Рассматривали много чего, и не просто рассматривали, а пробовали под нагрузкой (не в обиду postgresql - получали на порядки меньше RPS).

> Если да, то почему его за основу не взяли?

Основная причина выбора OpenLDAP = наличия multi-master.
Прочие подробности см на 11 странице https://www.basealt.ru/fileadmin/user_upload/kaluga-xiii-201...

> Есть вообще про него какие-нибудь комментарии?

В целом, автор ничего не выбирал и не дизайнил, его попросили/позвали починить OpenLDAP когда ситуация уже была пожарной.

Ответить | Правка | Наверх | Cообщить модератору

25. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +2 +/
Сообщение от mos87 (ok), 09-Сен-22, 06:42 
Спасибо, думал проект всё.

Один вопрос - можно ли в принципе приспособить LDAP в качестве general-purpose базы данных?

Например, конторе на вход поступают данные в виде XMLек, там само собой вложенные и множественные тэги. Реализуемо ли как-то в рамках схемы (самописной конечно) LDAP повторить структуру XMLки особенно в части вложенности? У меня впечатление, что иерархия в таком виде в LDAP-модели данных невозможна? Может как-то objectclass'ами это нужно нагородить.

Или вот можно ли как-то на лету менять схему, как в SQL базах? Хотя бы дописав новую, расширяющую старую? Так же сложилось впечатление, что тут всё плохо.

Спасибо.

PS вообще желание узнать возникло из "идеи" - что не анализируешь не надо совать в реляционную БД. (понятно, что они давно могут хранить всё что угодно в каком угодно виде - XML, json, хз что ещё).
А потом данные можно перекладывать в SQL для всяческих отчётов и прочих OLAP кубов. Просто разные NoSQL бд в основном сделаны для всяческого High Availability, чего мне вроде как не нужно - инфообмен такого не требует вроде. Зато в LDAP уже развитые инструменты типа ACL, библиотек доступа и т.д.

Ответить | Правка | Наверх | Cообщить модератору

36. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +1 +/
Сообщение от erthink (ok), 09-Сен-22, 09:12 
> Один вопрос - можно ли в принципе приспособить LDAP в качестве general-purpose
> базы данных?

Да..., но...

> Например, конторе на вход поступают данные в виде XMLек, там само собой
> вложенные и множественные тэги. Реализуемо ли как-то в рамках схемы (самописной
> конечно) LDAP повторить структуру XMLки особенно в части вложенности? У меня
> впечатление, что иерархия в таком виде в LDAP-модели данных невозможна? Может
> как-то objectclass'ами это нужно нагородить.

LDAP DIT - это расширенный key-value, где для ключей определена иерархия, а value состоит из набора обязательных и опциональны атрибутов.

> Или вот можно ли как-то на лету менять схему, как в SQL
> базах? Хотя бы дописав новую, расширяющую старую? Так же сложилось впечатление,
> что тут всё плохо.

Можно, но не всегда и не во всех LDAP-серверах, со всеми теми-же (часто неявными) проблемами что и в SQL.
В самом простом случае можно менять набор необязательных атрибутов.

Ответить | Правка | Наверх | Cообщить модератору

42. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от mos87 (ok), 09-Сен-22, 09:36 
Спасибо за ответ.
> LDAP DIT - это расширенный key-value, где для ключей определена иерархия, а
> value состоит из набора обязательных и опциональны атрибутов.

да, но сформиулирую так - можно ли как-то сделать, чтобы KEY был лишь контейнером для других KEY?

со множественностью проблем нет это я понимаю (один ключ может повторяться сколько угодно, в соотв. со схемой конечно), а вот такая вроде бы нехитрая система с вложенностью - сколько ни гуглил такого не видел.

т.е. так например
cn=запись_номер_столько_то
|
--key (пусть будет передающая_организация)
| |
| -- тут key - value (к примеру номер или адрес там)
| |
| -- тут key - value (подразделение какое-нибудь)
| |
| -- тут key - value (номер лицензии скажем)
|
--key (работы выполненные в рамках передаваемой записи)
| |
| -- тут key - value (услуга)
| |
| -- тут key - value (выполнивший)
| | |
| | -- имя выполнившего - Иванов
| | |
| | -- должность - прораб
| -- тут key - value (номер договора какой-нибудь)

...

Данные поступающие то вроде по большей части как раз иерархические, так что в качестве "фронта" вроде логично использовать не табличное хранилище. Но насколько тут приспособляем LDAP я пока не очень пойму...

Может есть какие-то качественные ссылки, где люди описывают опыт не стандартной работы со схемами? Был бы благодарен.

Ответить | Правка | Наверх | Cообщить модератору

51. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +3 +/
Сообщение от bOOster (ok), 09-Сен-22, 10:09 
Бери и создавай свою схему в разрезе всего что тут написал. основной затык у новичков вызывает создание индивидуальных OID. Где взять, как рассчитать. Ниче сложного нет.
1.3.6.1.4.1.4203.666.x.x.... - эта ветка считается экспериментальной/временной. Потом, если решение идет в массы - OID меняются уже на постоянные и уникальные.
Остальное все в доках. Мне как-то понадобилась централизованная авторизация/аутентификация для FreeSwitch IP PBX - пришлось сколхозить схему -
# Telephone Attributes
attributetype ( 1.3.6.1.4.1.4203.666.6273.2.1 NAME 'telephoneNumberAccessCode'
    DESC 'Access code for telephoneNumber services'
    EQUALITY caseIgnoreIA5Match
    SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

attributetype ( 1.3.6.1.4.1.4203.666.6273.2.2 NAME 'faxDeliveryMailbox'
        EQUALITY caseIgnoreIA5Match
        SUBSTR caseIgnoreIA5SubstringsMatch
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )

attributetype ( 1.3.6.1.4.1.4203.666.6273.2.3 NAME 'voiceDeliveryMailbox'
    DESC 'Voice Mailbox'
    EQUALITY caseIgnoreIA5Match
    SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

attributetype ( 1.3.6.1.4.1.4203.666.6273.2.4 NAME 'phoneGroupName'
    DESC 'Telephone Group Name'
    EQUALITY caseIgnoreIA5Match
    SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

attributetype ( 1.3.6.1.4.1.4203.666.6273.2.5 NAME 'registrar'
        DESC 'The last serving registrar'
        EQUALITY caseIgnoreIA5Match
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

objectclass ( 1.3.6.1.4.1.4203.666.6273.2.100 NAME 'telephoneNumberAccount'
        DESC 'Telephone account'
        SUP top STRUCTURAL
        MUST ( telephoneNumber )
        MAY ( userPassword $ telephoneNumberAccessCode $ macAddress $ faxDeliveryMailbox $ registrar ) )

objectclass ( 1.3.6.1.4.1.4203.666.6273.2.101 NAME 'phoneGroup'
        DESC 'Telephone Group'
        SUP top STRUCTURAL
        MUST ( phoneGroupName )
        MAY ( telephoneNumber $ description ) )

# Autoprovision options
attributetype ( 1.3.6.1.4.1.4203.666.6273.4.1 NAME 'provisionDeviceName'
        DESC 'Autoprovision Device Name'
        EQUALITY caseIgnoreIA5Match
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

attributetype ( 1.3.6.1.4.1.4203.666.6273.4.2 NAME 'provisionOptionName'
        DESC 'Autoprovision Option Name'
        EQUALITY caseIgnoreIA5Match
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

attributetype ( 1.3.6.1.4.1.4203.666.6273.4.3 NAME 'provisionOptionValue'
        DESC 'Autoprovision Option Value'
        EQUALITY caseIgnoreIA5Match
        SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )

objectclass ( 1.3.6.1.4.1.4203.666.6273.4.100 NAME 'autoprovisionRecord'
        DESC 'Autoprovision option record'
        STRUCTURAL
        MUST ( provisionDeviceName $ provisionOptionName )
        MAY ( provisionOptionValue ) )

# Autoprovision options end

В результате через OpenLDAP таскается все что для IP телефонии нужно, от аутентификации и авто-provisioning до автоматического роуминга телефонов - одна телефонная станция в одном офисе - сама знает на какой сервер в какой офис роутить звонок all over the world.

Ответить | Правка | Наверх | Cообщить модератору

74. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от mos87 (ok), 09-Сен-22, 13:05 
спасибо, повтыкаю
Ответить | Правка | Наверх | Cообщить модератору

98. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –1 +/
Сообщение от Ivan_83 (ok), 10-Сен-22, 02:01 
Античеловечный ASN.1.
Бинарные протоколы обречены иметь единичные реализации.
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

100. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +1 +/
Сообщение от aliechemail (?), 10-Сен-22, 02:59 
Только ldap об этом не знает. У него сильно больше одной реализации как серверов, так и клиентских частей есть.
Ответить | Правка | Наверх | Cообщить модератору

114. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от bOOster (ok), 11-Сен-22, 10:08 
> Античеловечный ASN.1.
> Бинарные протоколы обречены иметь единичные реализации.

Для неосиляторов - любое решение "Нечеловечное".
А про единичные реализации - так ASN.1 пользуют X.500, LDAP, PKCS, SNMP, все телефонные 2G..5G, kerberos, и т.д. Еще десяток различных протоколов и решений.

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

120. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –1 +/
Сообщение от Ivan_83 (ok), 12-Сен-22, 00:50 
И всё это - какахи мамонта, которые неюзабельны.
SNMP хрень полная, где вечно надо бегать искать актуальные OID для каждой железки.
X.500 - мёртв просто.
PKCS - хреновина которая как то работает, её терпят потому что она обложена высокоуровнемыми АПИ.
kerberos - примерно в такой же Ж как и LDAP - полтора страдальца его юзают по своей воле.
Телефонный стёк - куча Г которая нынче используется как обычный WiFi основную часть времени.

Есть удачные решения, есть не удачные решения. ASN.1 относится к последним.
Есть IP, TCP, DNS, DHCP, RADIUS - они тоже бинарные но без избыточной сложности, и самое сложное что там нужно сделать это составить список опций коих не может быть больше 255 в принципе, у дхцп таких списков полтора.
У ASN.1 мало того что длина данных может идти после данных что делает написание безопасного парсера /валидатора затруднительным, так ещё рандомные OID с которыми непонятно что делать если ты их не ждал но встретил.
Даже XML более удачный формат получивший большее распространение.

Ответить | Правка | Наверх | Cообщить модератору

52. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +1 +/
Сообщение от erthink (ok), 09-Сен-22, 10:14 
> Спасибо за ответ.
>> LDAP DIT - это расширенный key-value, где для ключей определена иерархия, а
>> value состоит из набора обязательных и опциональны атрибутов.
> да, но сформиулирую так - можно ли как-то сделать, чтобы KEY был
> лишь контейнером для других KEY?
> со множественностью проблем нет это я понимаю (один ключ может повторяться сколько
> угодно, в соотв. со схемой конечно), а вот такая вроде бы
> нехитрая система с вложенностью - сколько ни гуглил такого не видел.

Не уверен что могу понять что вы имели в виду, кроме как предположив что речь о составных ключах и/или индексах.

В LDAP это не обязательно, т.е. не требуется для соблюдения RFC (хотя их много и я точно не читал все). Соответственно, вы не можете рассчитывать на подобные возможности глядя на абстрактный LDAP-сервер.

С другой стороны, в (Re)OpenLDAP доступно определение составных индексов по атрибутам, в том числе с контролем уникальности. Плюс есть всяческие плагины/оверлеии типа MemberOf и виртуальных групп.

>[оверквотинг удален]
> | -- тут key - value (выполнивший)
> | | |
> | | -- имя выполнившего - Иванов
> | | |
> | | -- должность - прораб
> | -- тут key - value (номер договора какой-нибудь)
> ...
> Данные поступающие то вроде по большей части как раз иерархические, так что
> в качестве "фронта" вроде логично использовать не табличное хранилище. Но насколько
> тут приспособляем LDAP я пока не очень пойму...

И так тоже можно..., но насколько удобно решайте сами.
Также нужно не забывать, что LDAP не гарантирует ACID на уровне всего DIT, а только для отдельных элементов.


> Может есть какие-то качественные ссылки, где люди описывают опыт не стандартной работы
> со схемами? Был бы благодарен.

https://pro-ldap.ru/
Только смотреть/искать нужно не чей-то опыт, а вникать в возможности сервера, через примерны понимать как их настраивать, а затем (желательно) понимать как это работает внутри.

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

73. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от mos87 (ok), 09-Сен-22, 13:05 
> Не уверен что могу понять что вы имели в виду, кроме как
> предположив что речь о составных ключах и/или индексах.

Чтобы отражало такую нехитрую структуру (и подобные):

<?xml version="1.0" encoding="utf-8"?>
<LIST>
    <HEADER>
        <VERSION>3.2</VERSION>
        <DATE>2022-09-09</DATE>
        <FILENAME>incoming_example</FILENAME>
    </HEADER>
    <INVOICE>
        <ORG>123</ORG>
        <YEAR>2022</YEAR>
        <MONTH>9</MONTH>
    </INVOICE>
    <REC>
        <N_REC>1</N_REC>
        <THINGY>0</THINGY>
        <CLIENT>
            <ID_CLIENT>317</ID_CLIENT>
            <DOCNUM>2845738957349578</DOCNUM>
        </CLIENT>
        <EVENT>
            <IDEVENT>1</IDEVENT>
            <VARIOUS>1</VARIOUS>
            <TAGS>2</TAGS>
            <SERVICE>
                <IDSERV>1</IDSERV>
                <CODE>AAAAA</CODE>
                <SUB>
                    <SOME>1</SOME>
                    <TAGS>2</TAGS>
                </SUB>
            </SERVICE>
            <SERVICE>
                <IDSERV>2</IDSERV>
                <CODE>BBBBB</CODE>
                <SUB>
                    <SOME>1</SOME>
                    <TAGS>2</TAGS>
                </SUB>
            </SERVICE>
        </EVENT>
    </REC>
</LIST>

Само собой надо для разных данных придумать структуру DIT. Что dn'ом будет, и т.д. В системе много разных расшифровщиков типа "справочник" - вот они должны хорошо лечь на DIT (справочники же).

> Также нужно не забывать, что LDAP не гарантирует ACID на уровне всего
> DIT, а только для отдельных элементов.

Переживём.

> https://pro-ldap.ru/

Перевод зитракса? Ну дык я оригинал могу.
Он конечно обширный, но на данном этапе мене хотелось бы для себя уяснить, реализуемо ли в продакшне для насущных задач.. это другой коленкор. Чем просто поднять slapd.

> Только смотреть/искать нужно не чей-то опыт, а вникать в возможности сервера, через
> примерны понимать как их настраивать, а затем (желательно) понимать как это
> работает внутри.

Я как раз это понимаю. И даже не смотрю на криволапые гайды копирующие одно и то же друг у друга.
Я вообще поднимал OpenLDAP но не в продакшне, а в домашней сетке. Давно ещё. Завязывал для прикола разные сервисы на каталог - керберос с хранением его данных в дереве же, NFS4 с integrity и privacy, autofs, NIS-службы (аутентификация/авторизация с машин через sssd уже, хотя можно было и более традиционными клиентами логина), jabberd2 с расшаренным ростером (состоящих из семьи), и другое. По вот этой серии статей http://itdavid.blogspot.com/2012/05/howto-centos-6.html (сам удивился что нагуглил - было оч давно) - почему-то это оказалось очень толковым, в отличие от многих других.

Ответить | Правка | Наверх | Cообщить модератору

53. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +1 +/
Сообщение от bOOster (ok), 09-Сен-22, 10:21 
а Key Value, индексация и все такое это уже относяться к реализации сервера - например OpenLDAP

olcDbIndex, dbIndex - там свой синтаксис описания например твое поле numLicence eq - система создаст индекс и значительно ускориться поиск numLicence - "строго идентичное совпадение".

Ну и т.п. - в доках реально все расжевано, только глотай

Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

148. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Lefsha (ok), 14-Сен-22, 14:19 
> Спасибо, думал проект всё.
> Один вопрос - можно ли в принципе приспособить LDAP в качестве general-purpose
> базы данных?

Нет. Нельзя.

Это протокл, а не база каких либо данных. Последняя буква P - означает protocol.
База данных это другой уровень и находится он ниже.
Это способ общения с хранилищем.

В качестве GPDB вы можете приспособить LMDB, который улучшил тот же самый автор
насколько я понимаю.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

27. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –1 +/
Сообщение от Бывалый смузихлёб (?), 09-Сен-22, 07:59 
> В апреле GitHub удалил учётные записи и репозитории многих российских разработчиков,
> связанных с компаниями, попавшими под санкции США, включая репозиторий ReOpenLDAP  

Вопрос скорее в том, почему Мегафон тупо слился - его ведь и далее так будут пинать все кому не лень.
Конечно понятно что судиться с Микрософтом - это тебе не какой-нибудь бабке платную подписку навязывать, абонентам без уведомлений стоимость тарифа поднимать или прикручивать платную подписку при клике по баннеру на стороннем сайте( серьёзно, кликнул - "подписался", без каких-либо условий, подтверждений по СМС ли типо того )

Но вообще-то недавняя история с Царьградом совершенно наглядно показала что в подобных случаях контору-блокировщика аккаунтов мало того что обяжут всё восстановить так ещё и на счётчик поставят. По крайней мере, гугл и уплатил миллиардный штраф и восстановил удалённые всвязи с американскими санкциями аккаунты на ютубе( которые "технически невозможно восстановить, ведь они безвозвратно удалены. Поэтому, пожалуйста снимите с нас все обвинения" ).
Мотивируется это тем, что американские законы действуют на территории США. Применение американских законов к сервисам что работают не только в США( в данном случае, ютуб действовал и в РФ ) - нарушает суверенитет других стран. Поэтому, даже если в США кто-то что-то и решил - они могут ограничить доступ к материалам лишь с территории США а не блокировать или удалять материалов для всех.
Причём разборки вполне происходят в российских судах.

Ответить | Правка | Наверх | Cообщить модератору

29. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Свинорез (?), 09-Сен-22, 08:34 
Что за бред ты выдал?
Ответить | Правка | Наверх | Cообщить модератору

34. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +1 +/
Сообщение от erthink (ok), 09-Сен-22, 09:05 
> Вопрос скорее в том, почему Мегафон тупо слился - его ведь и
> далее так будут пинать все кому не лень.

МегаФон всегда есть за что попинать "для профилактики", но тут он не причем:
- блокировка из-за нового места работы автор, а непосредственно в МегаФоне он никогда не работал;
- МегаФоне уже года три-четыре не использует ReOpenLDAP и не имел отношения к размещению исходного кода на Github, это была инициатива исключительно со стороны автора;

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

35. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –3 +/
Сообщение от Аноним (35), 09-Сен-22, 09:09 
Судя по списку изменений, проект, весьма ожидаемо, заброшен.
В этом и есть основное отличие от openldap, видимо :-)
Ответить | Правка | Наверх | Cообщить модератору

38. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +4 +/
Сообщение от erthink (ok), 09-Сен-22, 09:17 
> Судя по списку изменений, проект, весьма ожидаемо, заброшен.
> В этом и есть основное отличие от openldap, видимо :-)

Для тех кто в танке, основные отличия от OpenLDAP: работающая репликация в режиме multi-master, в том числе для full-mesh топологии из 3-4-5 узлов, в том числе под высокой нагрузкой.

OpenLDAP в таком режиме потеряет часть апдейтов и упадет максимум через 1-2 часа, а в худшем случае удалит произвольную часть синхронизируемых данных...

:-)

Ответить | Правка | Наверх | Cообщить модератору

54. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от bOOster (ok), 09-Сен-22, 10:26 
Я проблем еще с 2.4.49 (по моему) с многонодной мультимастер репликацией не имел. Низнаю че там в ReOpenLDAP изобретали.
Ответить | Правка | Наверх | Cообщить модератору

59. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +1 +/
Сообщение от erthink (ok), 09-Сен-22, 10:40 
> Я проблем еще с 2.4.49 (по моему) с многонодной мультимастер репликацией не
> имел. Низнаю че там в ReOpenLDAP изобретали.

OpenLDAP гарантированно падает и/или теряет данные когда:
- больше двух узлов в multimaster;
- изменения льются на все узлы одновременно;
- связь между узлами рвется и восстанавливается.

Ответить | Правка | Наверх | Cообщить модератору

61. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от bOOster (ok), 09-Сен-22, 10:50 
>> Я проблем еще с 2.4.49 (по моему) с многонодной мультимастер репликацией не
>> имел. Низнаю че там в ReOpenLDAP изобретали.
> OpenLDAP гарантированно падает и/или теряет данные когда:
>  - больше двух узлов в multimaster;
>  - изменения льются на все узлы одновременно;
>  - связь между узлами рвется и восстанавливается.

Я еще раз повторяю, в моих условиях я не имел этих проблем. 10 нод в мультимастере (all over the world) у меня было и щас есть, самые старые 2.4.49. На 2.5 я еще даже и не думаю переходить. Не вижу никаких выгод пока.
Гоняют серверы по синхронизации громадный переизбыток трафика - да, но у меня на серверах нет каналов с учетом трафика.
Про количество slave репликаций OpenLDAP скромно умолчу..

Ответить | Правка | Наверх | Cообщить модератору

64. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +2 +/
Сообщение от erthink (ok), 09-Сен-22, 11:04 
>[оверквотинг удален]
>> OpenLDAP гарантированно падает и/или теряет данные когда:
>>  - больше двух узлов в multimaster;
>>  - изменения льются на все узлы одновременно;
>>  - связь между узлами рвется и восстанавливается.
> Я еще раз повторяю, в моих условиях я не имел этих проблем.
> 10 нод в мультимастере у меня было и щас есть, самые
> старые 2.4.49. На 2.5 я еще даже и не думаю переходить.
> Не вижу никаких выгод пока.
> Гоняют серверы по синхронизации громадный переизбыток трафика - да, но у меня
> на серверах нет каналов с учетом трафика.

Проблема воспроизводится (даже) на собственных тестах OpenLDAP, если их просто зациклить (но быстрее на нагруженной машине).
Но вы можете достаточно долго не замечать проблем, так как обычный сценарий использования OpenLDAP с multimaster и обычные требования сильно отличаются от мегафоновских.
Грубо говоря, у вас не 10К апдейтов в секунду, нет тестов на устойчивость и корректность работы при потере и восстановлении связности, нет проверок что данные на узлах кластера одинаковые (вот проверьте, кстати).

При использовании multimaster смысл переходить есть только на ReOpenLDAP.

С объемом трафика это никак не связано, и переизбытка быть недолжно.

Ответить | Правка | Наверх | Cообщить модератору

82. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Stan (??), 09-Сен-22, 20:06 
У нас 6 мастер-мастер OpenLDAP разбросанный по всему миру (разные регионы). Трафик конечно не 10К апдейтов в секунду, но где-то чуть меньше половины. Собираем метрики, есть мониторинг - каких либо крупных проблем не наблюдаем. У вас есть пошаговая инструкция как воспроизвести эту проблему?
Ответить | Правка | Наверх | Cообщить модератору

83. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от erthink (ok), 09-Сен-22, 20:40 
> У нас 6 мастер-мастер OpenLDAP разбросанный по всему миру (разные регионы). Трафик
> конечно не 10К апдейтов в секунду, но где-то чуть меньше половины.
> Собираем метрики, есть мониторинг - каких либо крупных проблем не наблюдаем.
> У вас есть пошаговая инструкция как воспроизвести эту проблему?

Как уже отвечал где-то рядом - достаточно зациклить собственные тесты OpenLDAP, которые тестируют репликацию.
Желательно на сильно загруженной машине.

Использовавшийся сценарий для проверки _примерно_ такой:
- на машине настраивается четыре local-interface, например 10.{1,2,3,4}.0.0.1/24
- конфигурируется full-mesh мультмастер кластер из 4-х инстанции slapd, т.е. у каждого slapd по 3 штуки syncprov и syncrepl к другим;
- все syncprov и syncrepl настраиваются так, чтобы работали через соответствующие local-интерфейсы, т.е. получает что каждый slapd "сидит" в своем сегменте 10.{1,2,3,4}.0.0.1/24;
- кроме этого каждый slapd слушает свой порт на 0.0.0.0;
- запускается питоновский скрипт, который стохастически начинает одновременно создавать/изменять/удалять записи через подключения ко всем четырем сервера (но при этом изменения не конфликтуют между собой);
- этот-же питоновский скрипт проверяет что данные соответствуют ожидаемым (можно создать, удалить, изменить и т.п.)
- запускается еще набор скриптов, который через iptables стохастически временно рвет syncprov-syncrepl соединения между узлами.
- оставляем "на ночь", утром проверяем что не упало и DIT на всех узлах совпадает.
- повторяем с ASAN и затем с Valgrind...

Если вы готовы разбираться со скриптами, то я наверное смогу их отыскать.

В OpenLDAP достаточно быстро всплывали ошибки:
- race conditions, use-after-free и всяческие падения в десятках мест;
- зацикливания и зависания;
- утечки памяти;
- воскрешение удаленных записей;
- удаление недавно добавленных и/или обновленных;

Удаление части replication scope более редкая ошибка, но внимательно прочитав RFC можно примерно догадаться когда и почему она происходит.

Ответить | Правка | Наверх | Cообщить модератору

84. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от erthink (ok), 09-Сен-22, 20:43 
> У нас 6 мастер-мастер OpenLDAP разбросанный по всему миру (разные регионы). Трафик
> конечно не 10К апдейтов в секунду, но где-то чуть меньше половины.
> Собираем метрики, есть мониторинг - каких либо крупных проблем не наблюдаем.
> У вас есть пошаговая инструкция как воспроизвести эту проблему?

На всякий, может пригодится https://ldapcon.org/2017/wp-content/uploads/2017/08/1_ReOpen...

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

65. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –1 +/
Сообщение от InuYasha (??), 09-Сен-22, 11:06 
Коллеги, а есть какой-нибудь GUI к этому всему делу? Чтоб видеть хоть, с чем работаешь, и не из головы писать все эти синтаксические ужасы.
Я как-то пытался прикрутить phpLdapAdmin пару лет назад, но что-то там не задалось.
Ответить | Правка | Наверх | Cообщить модератору

67. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +1 +/
Сообщение от erthink (ok), 09-Сен-22, 11:10 
> Коллеги, а есть какой-нибудь GUI к этому всему делу? Чтоб видеть хоть,
> с чем работаешь, и не из головы писать все эти синтаксические
> ужасы.
> Я как-то пытался прикрутить phpLdapAdmin пару лет назад, но что-то там не
> задалось.

Не встречал ничего чтобы помогало.
Все прокладки только запутывают еще больше.

При этом весь "птичий синтаксис" достаточно логичный и удобный.
Грубо говоря, примерно любой кто берется делать "GUI в помощь" приходит к выводу что не нужно.

Ответить | Правка | Наверх | Cообщить модератору

77. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –1 +/
Сообщение от InuYasha (??), 09-Сен-22, 18:16 
Начинать лучше с ГУИ, где всё видно и понятно, а не в потёмках, с чистого листа и отсутствия внятной документации "а что же делать дальше". Например, я начинал с MS MSQL и ни разу не жалею. После этого на My в консоли было в разы веселее.
Ответить | Правка | Наверх | Cообщить модератору

149. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Lefsha (ok), 14-Сен-22, 14:25 
> Начинать лучше с ГУИ, где всё видно и понятно, а не в
> потёмках, с чистого листа и отсутствия внятной документации "а что же
> делать дальше". Например, я начинал с MS MSQL и ни разу
> не жалею. После этого на My в консоли было в разы
> веселее.

Абсолютно ВСЕ зависит от задачи и того КТО это делает.

Добавлять пользователя в систему может секретарша.
Заставлять ее работать в консоли это расстаться с секретаршей на всегда
и никогда не найти замену.

Если надо обработать миллион пользователей, то это лучше вообще делать
скриптом или программой - кому как повезет.

Варианты использования консоли это починка самой базы или устранение каких-то проблем
или добавления каких-то функций. В нормальной жизни - повторяющиеся регулярные операции
консоль это самый плохой вариант.


Тот факт, что программисты этого не понимают это скорее проблема.

Ответить | Правка | Наверх | Cообщить модератору

135. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Lefsha (ok), 12-Сен-22, 15:28 
> При этом весь "птичий синтаксис" достаточно логичный и удобный.
> Грубо говоря, примерно любой кто берется делать "GUI в помощь" приходит к
> выводу что не нужно.

Ну разумеется. На этом белом свете ВСЕ, ну буквально ВСЕ программисты.
И с гарантией ВСЕ 100% имеют опыт переписывания OpenLDAP и по этому невольно
даже во сне могут обновить базу и добавить туда 1000 пользователей ручками.


P.S. Вот за что не люблю программистов, так это за такое идиотское мнение.
Это даже каленым железом не выжечь из мозгов. Дефект на всю жизнь.

Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

76. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от mos87 (ok), 09-Сен-22, 13:24 
>GUI к этому всему делу

это примерно то же самое, что просить гуй к SQL. Если задаешь такой вопрос, значит не оч. понимаешь, с чем имеешь дело.

Ну была GOSA веб-морда. Но заходить нужно принципиально с другого конца.

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

80. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +1 +/
Сообщение от Stan (??), 09-Сен-22, 19:59 
Используем apache directory studio (https://directory.apache.org/studio/screenshots.html), я доволен как слон
Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

85. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от InuYasha (??), 09-Сен-22, 22:20 
Спасибо, погляжу.

> It is an Eclipse RCP application, composed of several Eclipse (OSGi) plugins

Ох, что-то жабой запахло... (

Ответить | Правка | Наверх | Cообщить модератору

116. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –1 +/
Сообщение от pofigist (?), 11-Сен-22, 11:05 
А что бывает гуевый софт под линаксы не на жабе или электроне?
Ответить | Правка | Наверх | Cообщить модератору

117. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +1 +/
Сообщение от InuYasha (??), 11-Сен-22, 11:09 
Например, KDE - стыхал о таком? Там программы рисуются в окошках, с кнопочками которые можно нажимать мышкой.
Ответить | Правка | Наверх | Cообщить модератору

133. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Lefsha (ok), 12-Сен-22, 15:23 
> Коллеги, а есть какой-нибудь GUI к этому всему делу? Чтоб видеть хоть,
> с чем работаешь, и не из головы писать все эти синтаксические
> ужасы.
> Я как-то пытался прикрутить phpLdapAdmin пару лет назад, но что-то там не
> задалось.

Все работает. Хотя там надо немного по исправлять код. Но это легко,
потому как ошибки выдают где и что не соответствуют новой версии PHP.

Последняя рабочая версия вроде 7.4 дальше не работает.

В Template есть странные глюки касающиеся очередности появления полей
и не соответствия их списку в самом Template. Но тут либо забить,
либо по жонглировать со списком.

Я пробовал все другие варианты, то они как-то странно все работают.
Вариант от Apache имеет проблемы соединения с базой. Хотя пару раз настраивал,
но потом убил. Так как решение не переносимое. Интерфейс должен быть через WEB.
Все остальное обман зрения.


Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

134. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Lefsha (ok), 12-Сен-22, 15:24 
> Коллеги, а есть какой-нибудь GUI к этому всему делу? Чтоб видеть хоть,
> с чем работаешь, и не из головы писать все эти синтаксические
> ужасы.
> Я как-то пытался прикрутить phpLdapAdmin пару лет назад, но что-то там не
> задалось.
Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

118. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +2 +/
Сообщение от Анончик (?), 11-Сен-22, 16:07 
Спасибо за вашь труд
Ответить | Правка | Наверх | Cообщить модератору

125. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  –2 +/
Сообщение от Lefsha (ok), 12-Сен-22, 02:21 
Только факты:

1. Использую ReOpenLDAP в течении 4х лет.
2. Проблемы были только при обновлении системы и потери совместимости в библиотеках. Приходилось пересобирать. Т.е. периодическое наблюдение за кодом необходимо хотя бы 1 раз в год.
3. В качестве хранилища используется LMDB. Тем не менее есть ощущение,
что все не очень быстро работает. Мне кажется это проблема с latency.
Возможно связано с железом не первой свежести.

Касательно политической позиции автора это конечно тихий ужас.
Вылечить OpenLDAP наверно можно. Но когда у человека сломано сознание,
это уже ничем не лечится. Хотя в кругу автора наверно никаких проблем не ощущается.

За труд спасибо. За ход ваших мыслей - нет.

Ответить | Правка | Наверх | Cообщить модератору

127. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +2 +/
Сообщение от vvm13 (?), 12-Сен-22, 10:40 
В каком месте поискать ересь, чтобы я тоже мог ужаснуться? Или она была, но удалена?
Ответить | Правка | Наверх | Cообщить модератору

130. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Ivan_83 (ok), 12-Сен-22, 11:57 
Скорее всего тут:
http://www.opennet.dev/opennews/art.shtml?num=57077
Ответить | Правка | Наверх | Cообщить модератору

137. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Lefsha (ok), 12-Сен-22, 15:34 
> Скорее всего тут:
> https://www.opennet.dev/opennews/art.shtml?num=57077

Вы просто редкостный кадр. Разумум я понимаю, что на свете есть идиоты и их достаточно много.
Но когда их встречаю каждый раз это вызывает удивление.
Кажется уже нельзя быть глупее, но практика всегда показывает обратное.

Ответить | Правка | Наверх | Cообщить модератору

139. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Ivan_83 (ok), 12-Сен-22, 21:25 
А самый прикол в том, что ты пользуешься тем что такие как мы пишем.
Давай дальше, твоё мнение очень важно для меня лично, жги! :)

Удивительно что токсичные одмины ещё не передохли, фу таким быть.
https://www.opennet.dev/openforum/vsluhforumID3/122801.html#70

Ответить | Правка | Наверх | Cообщить модератору

144. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Lefsha (ok), 13-Сен-22, 12:43 
> А самый прикол в том, что ты пользуешься тем что такие как
> мы пишем.
> Давай дальше, твоё мнение очень важно для меня лично, жги! :)
> Удивительно что токсичные одмины ещё не передохли, фу таким быть.
> https://www.opennet.dev/openforum/vsluhforumID3/122801.html#70

Вы пишите? - Что Вы, лично ВЫ, написали, что я пользую?
Огласите весь список пожалуйста.

Я не токсичный и даже не админ. Ваша проблема в том, что Вы рассуждаете
о том в чем ничего не смыслите! Я уже это говорил, но повторю еще.
До Вас с первого раза НЕ доходит.

Когда Вы говорите о LDAP, то Вы не понимаете что это и зачем это.
Но сразу готовы все выкинуть на помойку.

Но если бы Вы присмотрелись к крупным компаниям хотя бы таким как Microsoft,
у которых точно есть ресурсы, чтобы переписать все с нуля и так сказать исполнить Вашу
мечту - отказа от LDAP, то оказывается, что они так не поступают!

Может быть инженеров и менеджеров MS элементарно лучше с головой, чем у Вас???

Это очень хороший способ проверить свои мысли на адекватность.
Если тот у кого достаточно ресурсов и всего остального не поступает так как Вы считаете
правильно, то наверно это не просто так. Значит есть какие-то проблемы или препятствия,
которые мешают это вот так просто сделать. Значит либо идея в корне неправильная,
либо требует куда больше ресурсов БЕЗ очевидных перспектив и преимуществ.

Хотя честно признаться я понимаю, что это голос в пустыне... Вы точно не поймете и не оцените.

Проблема только в том, что и аргументов для спора у Вас нет никаких.
Вы не знаете материал и не высказали ни одной умной мысли по поводу.


P.S. Лично мне тоже не нравится LDAP. Прежде всего своей непрозрачной концепцией,
а так же попыткой сделать условный стандарт, который стандартом либо быть не может,
либо у него не получается. В итоге приходится использовать так или иначе комбинацию
из различных schema. Таким образом мы уходим из стандарта, потому как никто не может
знать комбинацию каких schema мы используем и какие конкретно поля там зайдействованы.
В итоге остается совместимость на уровне самого протокола с необходимостью поднастраивать
разного рода клиентов. При таком раскладе было бы проще вообще избавится от встроенных
schema и чтобы каждый мог пилить то что ему нравится следуя общей форме. Либо наоборот
задать общую большую schema для всех и провозглосить ее стандартом и обязательной к применению.

Так же LDAP плох дупликацией некоторых функций если говорить о группах например.
Существуют группы ala Linux и существуют группы организованные другим образом.
В итоге нет возможности совмещать пользователей по одним и тем же группам в рамках пользователей
самой OS и сервисов предоставляемых в рамках условной сети. Т.е. то что более или менее работает
в Windows совершенно не работает в Linux. Но это проблема устаревшей концепции Unix - я-мы-все.
И разумеется это никто не будет менять. Хотя это устарело задолго до устаревания LDAP.

НО! Всего этого Вы не знаете! И лезете рассуждать о неведомых Вам вещах.
Если бы Вы хотя бы написали нечто подобное как написано Выше, то можно было бы по дискутировать.
А с пустым местом дискутировать просто не о чем!

Ответить | Правка | Наверх | Cообщить модератору

146. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Ivan_83 (ok), 13-Сен-22, 14:51 
МС пилит то что приносит деньги, и старается подсаживать на свои продукты и технологии чтобы получать ещё больше денег.
Отсюда их вечное: захват через расширение.

Если вы посмотрите на любые другие крупные ИТ коорпорации то никакого LDAP там скорее всего нет, может только где то в бухгалтерии и у юристов с манагерами там венда с доменом.

Где там лдап у фаанг корпораций?


Что лично я пишу есть тут:
https://github.com/rozhuk-im
ещё на гитлабе, гноме, хфце и хз где ещё есть куски моего кода.
Мою реализацию элиптической крипты растащили студенты на дипломы и циркон себе утащил.
Жуткий glib есть у почти всех, а там мои коммиты.

Ответить | Правка | Наверх | Cообщить модератору

150. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Lefsha (ok), 14-Сен-22, 14:37 
> МС пилит то что приносит деньги, и старается подсаживать на свои продукты
> и технологии чтобы получать ещё больше денег.

Это справедливо для ЛЮБОГО бизнеса. Если бы они так не поступали, то наверно
там кому-то нужно было бы обратится к психологу. Ну или его бы уволили.

Вам НЕ нравится MS? - Сделайте лучше. Вы не можете? - Ешьте, что дают.


> Если вы посмотрите на любые другие крупные ИТ коорпорации то никакого LDAP
> там скорее всего нет, может только где то в бухгалтерии и
> у юристов с манагерами там венда с доменом.

Вы регулярно говорите о вещах в которых НЕ смыслите. Разумеется ЕСТЬ.
Как только появляется более 10 пользователей и контора становится более или менее
управляемой адекватными людьми.
Я бы сказал в 99.9% процентах случаев это именно так. Вы просто не в курсе дела.

> Где там лдап у фаанг корпораций?

Простое логическое рассуждение. Представим себе, что условный некто разработал
нечто гораздо более лучшее, чем LDAP. Может быть? - Может.
Он потратил на это человеко-часы и деньги в конце концов!

Если он хотя бы начинающий бизнесмен, то он захочет это решение либо продать,
либо распространить дальше!

Цитирую: "Отсюда их вечное: захват через расширение."

И вот сидят эти Hyperscallers и никому даже не рассказывают, не то что не продают,
то что уже давно и успешно пользуют...

Логично? - Как бы совсем НЕТ.
Отсюда какой напрашивается вывод???


> Что лично я пишу есть тут:

Скажите как Вы там что-то пишите, если у Вас начисто отсутствует логическое мышление?

> https://github.com/rozhuk-im
> ещё на гитлабе, гноме, хфце и хз где ещё есть куски моего кода.

Слава Богу НЕ использую.

> Жуткий glib есть у почти всех, а там мои коммиты.

Вот почему он такой жуткий... Нет у меня его на сервере нет.
Я даже представить не могу зачем он нужен...

Ответить | Правка | Наверх | Cообщить модератору

152. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Ivan_83 (ok), 15-Сен-22, 23:49 
Ещё раз спрашиваю: кто из фаанг юзает унылый лдап?
Кто из фаанг вообще юзает что то из дерьмовых технологий мс, да и вообще друг друга?
Фишка любой компании пришедшей к большому успеху именно в том, что они сами и много пилили свои велосипеды, сами на них ездят и продают их другим, кое что дарят или дают погонять.

Судя по тому как вы прыгаете с лдапом - вы в какой то конторе админите, максимум интегратор.
Уровень рассуждений: дайте мне готовый софт я вам щас всё настроию по роликам с ютуба.

Я юзаю готовый софт когда он меня всем удовлетворяет, и я пишу свой софт когда мне то то не нравится.

У меня и правда нет знаний по лдап, каких глубоких, я ковырял клиента и в целом вижу как уныло там всё внутри и как уныло всё в самбе.
Если мне потребуется авторизация - я посмотрю на всякие OpenID, OAuth и прикручивание радиуса к базе.
И плевать мне что миллионы одминов уже наслаждаются своими страданиями от лдап и ад, я не мазохист и выбор у меня есть как то делать так и как это делать.

Мы (индустрия) уже дошли до того момента когда можно дропнуть весь МС с его продуктами и технологиями и жить дальше.


Может у вас рушится от этого мир, но вы не первый кто всю жизнь что то делал а потом этот кусок технологий стал просто ненужен.
Когда то телефонисты были важнее многих местных начальников.
Когда то телевизионщики считали что без них никак.
Вижал бейсик, мфк, асп - всё когда то было топовым меинстримом а теперь никто и не помнит, как о коболе и фортране.

И венда с её ад уже не нужна, есть гугль ос, есть всякие облака, главное чтобы браузер запускался. Авторизовался через браузер, файлы гоняешь через него же, редактируешь там же.
И похер что там у юзера на тачке, его проблемы.

Так что дед лапша, давай на пенсию пить таблетки :)

Ответить | Правка | Наверх | Cообщить модератору

147. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от erthink (ok), 13-Сен-22, 15:18 
> Существуют группы aka Linux и существуют группы организованные другим образом.
> В итоге нет возможности совмещать пользователей по одним и тем же группам
> в рамках пользователей
> самой OS и сервисов предоставляемых в рамках условной сети. Т.е. то что
> более или менее работает
> в Windows совершенно не работает в Linux. Но это проблема устаревшей концепции
> Unix - я-мы-все.

Тут у вас что-то не так, либо я вас совсем не понял.

В LDAP, прежде всего, всегда есть иерархия, т.е. дерево вложенных OD.
- Соответственно, появляется иерархия OD-групп, и эта иерархия сугубо топологическая/географическая.
- От этой иерархии/группировки можно отказаться, если тупо свалить все DN-ы в один OD.

Кроме этого есть "вторичные" группы, которые реализуются методами, либо их комбинацией:
- через списки: если DN входит в группу, то он включен в какой-то список;
- через атрибуты: если DN входит в группу, то у него есть соответствующий атрибут, как вариант атрибут в котором список групп, в которые входит DN;

Это покрывает все сценария использования.
В винде (active directory) ровно тоже самое, ибо другие методы просто сложно придумать.

На это накладываются некая автоматизация поддержки групп через эти методы, включая запросы, обновление списков/индексов и т.п.

В RFC что-то было на тему "как это следует делать", но подробностей я совсем не помню (не было необходимости вникать).
Насколько помню есть некоторые проблемы из-за того что у "каждого slapd" что-то своё, но главная заслуга в этом сначала немного Novell, а потом M$ - ибо принципиально не пытались договариваться, клали болт на RFC и упорото делали велосипеды.

Ответить | Правка | К родителю #144 | Наверх | Cообщить модератору

151. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Lefsha (ok), 14-Сен-22, 15:26 
>> Существуют группы aka Linux и существуют группы организованные другим образом.
>> В итоге нет возможности совмещать пользователей по одним и тем же группам
>> в рамках пользователей
>> самой OS и сервисов предоставляемых в рамках условной сети. Т.е. то что
>> более или менее работает
>> в Windows совершенно не работает в Linux. Но это проблема устаревшей концепции
>> Unix - я-мы-все.
> Тут у вас что-то не так, либо я вас совсем не понял.

Да, Вы меня не поняли. У меня претензии НЕ к LDAP. Он сам по себе тут не причем.


> В LDAP, прежде всего, всегда есть иерархия, т.е. дерево вложенных OD.
>  - Соответственно, появляется иерархия OD-групп, и эта иерархия сугубо топологическая/географическая.

Я говорю о нескольких реализациях Групп И Пользователей с помощью LDAP:

1. posixGroup через cn and gidNumber
   posixAccount через uidNumber etc

Чтобы даже в сети иметь доступ до некого компа через общую систему имен
необходимо иметь эти цифры. В Unix все права определаются через ID. Никаких имен там нет.


2. Чтобы использовать условно родные для LDAP группы и пользователей с возможностью
использования всяких там плагинов типа memberof. Ну хорошо - overlays.
Нужно иметь совершенно другую - параллельную иерархию групп и пользователей.
Обе не имеют ничего общего друг с другом.

Кое что об этом тут:
https://stackoverflow.com/questions/15818382/what-type-of-gr...


Соответственно, я могу предоставлять пользователям некие сервисы согласно одной конецепции,
но не могу согласно другой. Доступ, даже удаленный к машине это тоже сервис.

В итоге у меня сделано так, что все пользователи с точки зрения условного Nextcloud
находятся в разных группах с разными полномочиями, но с точки зрения непосредственно Unix
они ВСЕ находятся в одной posix группе. Т.е. я сделал merge 2х типов пользователей,
что просто, но разумеется не могу сделать merge 2х типов групп.

Это приводит например к тому, что средствами Nextcloud приходится создавать разграничения
по полномочиям с помощью более расширенного механизма групп. А это по сути дупликация функций файловой системы! И она жрет ресурсы и не будет никогда работать так стабильно как если
бы это была внутренняя функция файловой системы. Тот же Nextcloud вообще бы НЕ занимался
функциями разграничения полномочий и по сути дублирования файловой системы!

По этому я и говорю, что система - я-мы-они капитально устарела, но Unix и в часности Linux
не хочет и не видит необходимости что-то менять. Просто потому, что там сидят программисты,
которым проще в консоле... У которых элементарно не хватает мозгов понять требования сегодняшнего или точнее ВЧЕРАШНЕГО дня.

И поэтому Windows шагает по планете. А Linux ничего не может предложить для бизнеса.
Да даже просто любых организаций  где больше чем 2 человека. Т.е. он предлагает но тот же самый LDAP с которым САМ работать НЕ может.

Очевидное и элементарное, где одна группа пользователей включена в другую группу - даже это отсутствует в Unix. До этой элементарной идей можно было догадаться еще 50 лет назад.

И все потому что сидит такой Ваня и говорит - а мне в консоле проще. А мне - не надо.

И по этому этот Ваня идет НА*ЕР. А приходит Microsoft и решает задачи бизнеса.


> Это покрывает все сценария использования.
> В винде (active directory) ровно тоже самое, ибо другие методы просто сложно
> придумать.

Да. Точно так. Я совершенно НЕ спорю. Вот только Linux об этом совершенно НЕ знает.

Что именно мешает раз и навсегда создать полную иерархию пользователей и групп?
Одно решение, которое покрывает автоматом ВСЕ варианты?

Где и пользователь и группа отличаются только атрибутом. Где каждый представляется с помощью
UID. Где любая группа может входить в другие любые группы как и обычный пользователь.

Пользователь с ID=5 это какой-то страшный пережиток прошлого. Я молчу про ID=0.
Сам факт получения ID=0 делает вас Богом в системе... Не какие-то там права, вхождения в какие-то там группы или полномочия... А просто получи 0 и радуйся. И вдруг ВСЕ права перестают действовать.

Это кто такое писал???
Нет. Я не спорю в 1970 году это было даже круто. Компьютер был только у меня и Майкла Джексона...

Но тут приходит в дискуссию "Ваня_83" и предлагает убрать LDAP, потому что он устарел....
А мы даже не доросли чтобы использовать возможности LDAP на 5%...
Windows дорос, а Linux - нет.

Но мозгов то у Вани_83 нет. Но зато это такие Вани коммитят куда-то свой код...


P.S. А сейчас MS семимильными шагами идет и на территорию Linux... И не дай бог они создадут для Linux то, о чем я написал выше... Пользователей обычного Linux вообще не останется.
Деградирует в НОЛЬ. Опыт с Systemd удался на славу. Теперь полная интеграция LDAP в Linux от Microsoft и все привет семье. С точки зрения стратегии это очевидный шаг.

Ответить | Правка | Наверх | Cообщить модератору

136. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Lefsha (ok), 12-Сен-22, 15:31 
> В каком месте поискать ересь, чтобы я тоже мог ужаснуться? Или она
> была, но удалена?

В других сообщениях автора. Это отдельный разговор. Но кому надо все все знают.
Спросите самого автора. Он поделится, если не испугается.

Ответить | Правка | К родителю #127 | Наверх | Cообщить модератору

138. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от vvm13 (?), 12-Сен-22, 15:45 
А вы боитесь? Тогда зачем это начали?
Ответить | Правка | Наверх | Cообщить модератору

142. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от mos87 (ok), 13-Сен-22, 07:47 
а если найду?

чего он боится? разве что лишний раз распускать тему. и правильно
а вот если тебе не интересно, то зачем ты отвечаешь

если интересно, то найдёшь. это сложно НЕ найти.

Ответить | Правка | Наверх | Cообщить модератору

154. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от Lefsha (ok), 18-Дек-22, 17:31 
Не везде в коде произошла замена:

find . -type f -name "*.c" -exec sed -i 's/MDBX_NOSYNC/MDBX_SAFE_NOSYNC/' {} \


Не работает:
ARGS+=" --enable-debug=no"

Только часть кода выключается. Остальная, которая ссылается на
definitions в выключенном коде перестает работать.

Либо исправить, либо убрать опцию совсем.


Я еще разбираюсь, но старая версия MDB перестает работать. Все обнуляется и база
становится пустой. Сохранил backup. Будем смотреть.

Удачи.

Ответить | Правка | Наверх | Cообщить модератору

155. "Релиз LDAP-сервера ReOpenLDAP 1.2.0"  +/
Сообщение от _ (??), 17-Фев-23, 20:09 
> Не везде в коде произошла замена:
> find . -type f -name "*.c" -exec sed -i 's/MDBX_NOSYNC/MDBX_SAFE_NOSYNC/' {} \

Поправил
https://gitflic.ru/project/erthink/reopenldap/commit/1fb3081...

> Не работает:
> ARGS+=" --enable-debug=no"

Поправил.
https://gitflic.ru/project/erthink/reopenldap/commit/0caa8c4...

> Я еще разбираюсь, но старая версия MDB перестает работать.
> Все обнуляется и база становится пустой.
> Сохранил backup. Будем смотреть.

Тут я не понял - какая "старая версия" ?
Сейчас тесты проходят (make test), а дальше я не смотрел.

Тем не менее, если сравнивать с предыдущими релизами, то исторически в master-ветке была очень-очень старая версия libmdbx.
Если не ошибаюсь, то там формат еще совместимый с LMDB, т.е. чтобы МегаФон мог использовать на базах созданных еще в 2013 году.
И эта ситуация намеренно поддерживалась.
Тогда как devel-ветка соответствовала кодовой базе OpenLDAP 2.5 и была переведена на более новую версию lidmdbx (если не ошибаюсь уже с динамическим размером БД).

При формировании 1.2.0 ветка devel была влита в master, ибо нет смысла поддерживать/сохранять старый master.

Поэтому БД от старых версий и/или от OpenLDAP нужно переливать через LDIF.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру