Зачем в доменных системах используется LDAP?

Аватар пользователя DRVTiny

Собственно subject.
Как это ни странно, я действительно слабо представляю, зачем нужен Lightweight Directory Access Protocol. Вроде бы все средства для эффективного разделения доступа к каталогам при построении доменной системы предоставляет уже сам SMB-протокол (под Linux реализуемый Samb'ой), а добавление/удаление пользователей в домен можно легко организовать через многочисленные веб-конфигураторы , так что зачастую даже нет особой необходимости лишний раз лезть в smb.conf (и его include-файлы) и что-то там менять...
Может быть, LDAP нужен для крупных доменов с динамически перестраивающейся структурой или что-то в этом роде?
Проблема в том, что мне нужно поднять домен в одной небольшой организации, в которой количество и состав сотрудников меняется редко, а доступ к каталогам в основном должен быть не закрытым (строго ограниченным), а совместным, поскольку там файловый сервер используется для централизованного статичного хранения общих документов и обмена документацией (т.е. все личные и "сугубо конфиденциальные" данные хранятся только на компьютерах пользователей). При этом я с одной стороны знаю, что на подобных серверах широко применяется LDAP (под Linux - OpenLDAP), а с другой стороны - никак не могу понять, для каких конкретно задач он там нужен?
Не сочтите меня за полного чайника, но я действительно так и не смог понять, для чего нужен LDAP даже после прочтения изрядного количествя статей по его настройке. Т.е. в данном случае для меня вопрос "зачем" оказался сложнее вопроса "как"... Грустный

Аватар пользователя sergeil

Re: Зачем в доменных системах используется LDAP?

DRVTiny писал(а):
мне нужно поднять домен в одной небольшой организации

Насколько я знаю, LDAP необходим для реализации Active Directories и поддержки крупных организаций. У меня старая samba-2.2.7a под ASPLinux-7.3 работает контроллером домена и не жужжит. Ну нет там особенных вкусностей - и не нужно. 25 хостов -полет нормальный... В домене почти все WinXP(SP2). Есть пару старушек Win98...

IMHO, мой вариант Вам должен подойти...

Аватар пользователя DRVTiny

Re: Зачем в доменных системах используется LDAP?

Цитата:
LDAP необходим для реализации Active Directories

В том-то и проблема, что я категорически не в состоянии осилить это понятие - Active Directories, а нормальным, доступным для моего понимания языком это нигде не объясняется. Я могу проникнуться осознанием различий между активными и не слишком активными радикалами, но вот применить эти свои глубокие познания по отношению к неким совсем уж абстрактным каталогам я категорически не в состоянии Улыбка
И вообще странно, что при описании OpenLDAP все начинают буквально с места в карьер объяснять, что такое cn и прочие "магические" коды-атрибуты субъектов авторизации, но никто не хочет дать наконец внятный ответ на вопрос о том, зачем мне вообще может понадобиться этот LDAP.
Вот Вы, Sergeil, человек неординарных способностей и можно сказать - сисадмин от Бога, - можете мне объяснить, какие дополнительные функциональные возможности/улучшения предоставляет LDAP в качестве надстройки для NetBIOS и SMB? Был бы очень Вам за это признателен...

Аватар пользователя sergeil

Re: Зачем в доменных системах используется LDAP?

DRVTiny писал(а):
... какие дополнительные функциональные возможности/улучшения предоставляет LDAP в качестве надстройки для NetBIOS и SMB?

Скажу чесно и откровенно - не знаю. Я ни разу в жизни не держал в руках сервер Windows. Ни NT4, ни 2000...
По этой причине что такого вкусного предлагают "активные директории" я просто не знаю. Знаю только, что они реализованы через LDAP. Вот заставят меня купить Windows 2003 Server, тогда и узнаю... А пока не заставят - сам не куплю.

Цитата:
Был бы очень Вам за это признателен...

Извините DRVTiny за то, что не оправдал Ваших надежд...
Грустный

Аватар пользователя rjaan

Re: Зачем в доменных системах используется LDAP?

DRVTiny писал(а):
И вообще странно, что при описании OpenLDAP все начинают буквально с места в карьер объяснять, что такое cn и прочие "магические" коды-атрибуты субъектов авторизации, но никто не хочет дать наконец внятный ответ на вопрос о том, зачем мне вообще может понадобиться этот LDAP.

Что понять, что такое LDAP, Вам нужно знать основы аутентификации в GNU/Linux на локальном уровне. Зачем это надо?
Основное назначение LDAP, ведение общей базы аутентификации пользователей сети, объединеных в один домен. Таким образом, при попытки открытия сессии под конкретным пользователем, через один из менеджеров, таких как login, будет обращаться за информацией об акаунте не к локальным файлам авторизации, а к серверу через протокол Lightweight Directory Access Protocol. Впринципе, внешне, на него чем-то похож NIS от Sun Microsystem, если мне память не изменяет.

DRVTiny писал(а):
Может быть, LDAP нужен для крупных доменов с динамически перестраивающейся структурой или что-то в этом роде?

Впринципе, да, но опять, что считать крупным, опять же все зависит от степени лени админа. Для трех-пяти я не стал бы поднимать LDAP в сети.

DRVTiny писал(а):
Проблема в том, что мне нужно поднять домен в одной небольшой организации, в которой количество и состав сотрудников меняется редко, а доступ к каталогам в основном должен быть не закрытым (строго ограниченным), а совместным, поскольку там файловый сервер используется для централизованного статичного хранения общих документов и обмена документацией (т.е. все личные и "сугубо конфиденциальные" данные хранятся только на компьютерах пользователей). При этом я с одной стороны знаю, что на подобных серверах широко применяется LDAP (под Linux - OpenLDAP), а с другой стороны - никак не могу понять, для каких конкретно задач он там нужен?

В основном назначение LDAP -- доступ с разграничиванием полномочий к каталогом. Если пользователь Иванов имеет доступ к папке private_work, то пользователь Петров не может в нее зайти, т.к. доступ к ней ему запрещен.
Поэтому, если нужна одна в сети публичная директоря для общего доступа, то может быть следует послушать sergiel - Он плохого не посоветует:

sergeil писал(а):
У меня старая samba-2.2.7a под ASPLinux-7.3 работает контроллером домена и не жужжит. Ну нет там особенных вкусностей - и не нужно. 25 хостов -полет нормальный... В домене почти все WinXP(SP2). Есть пару старушек Win98...
Аватар пользователя sergeil

Re: Зачем в доменных системах используется LDAP?

rjaan писал(а):
Поэтому, если нужна одна в сети публичная директоря для общего доступа, то может быть следует послушать sergiel - Он плохого не посоветует:

Не следует доверять авторитетам, rjaan
Ничто в этом мере не идеально... И я тоже могу ошибаться...

Аватар пользователя rjaan

Re: Зачем в доменных системах используется LDAP?

sergeil писал(а):
Ничто в этом мере не идеально... И я тоже могу ошибаться...

Все мы заблуждаемся в той или иной мере... Улыбка

Аватар пользователя Cherepulya

Re: Зачем в доменных системах используется LDAP?

Попробую поянить я в силу своих скромных умений и еще более скромного опыта пребывания админом как это понимаю я сам. Реальная нужда в LDAP появляется когда наплодилось много серверов и служб. А заводить каждый раз новыйх пользователей на M серверах для N служб слишком долго и лениво. Чтоб избавить себя от рутинной работы - поднимается LDAP-сервер. И туда забиваются все пользователи и их пароли. Все остальный службы на все серверах настраиваются на аутентификацию через этот LDAP-сервер. Так все пользовательские аккаунты управляются централизовано из одного места. Еще более упрощая - пользователи заводятся не на каждом из десятка-двух серверов, а на одном, а все остальные обращаются к этому серверу (LDAP) на контроль наличия/правильности связки логин-пароль.

Аватар пользователя DRVTiny

Re: Зачем в доменных системах используется LDAP?

Цитата:
В основном назначение LDAP -- доступ с разграничиванием полномочий к каталогом. Если пользователь Иванов имеет доступ к папке private_work, то пользователь Петров не может в нее зайти, т.к. доступ к ней ему запрещен.
Поэтому, если нужна одна в сети публичная директоря для общего доступа, то может быть следует послушать sergiel - Он плохого не посоветует:

На самом деле и в обычной Самбе тоже полно средств разграничения доступа, и я не вижу, какая может быть проблема в том, чтобы не используя никаких LDAP'ов открыть полный доступ к каталогу СЕРВЕРА, например, пользователям Иванову, Петрову и Макаренко, а всем остальным оставить Read-Only. Собственно, именно в связи с тем, что Самба уже сама по себе предоставляет вполне адекватные средства контроля доступа к сетевым ресурсам, я и задумался над вопросом о том, зачем же тогда нужен LDAP.
Сейчас я благодаря краткому ликбезу Rjaan'а вижу только один адекватный вариант ответа на свой вопрос: LDAP нужен для того, чтобы пользователь авторизовался не локально, а на специальном сервере авторизации, т.е. для того, чтобы пользователи могли работать ВНУТРИ домена, представляющего собой не набор компьютеров с расшаренными папочками и хаосом учётных записей для доступа к ним, но виртуальную среду с разделяемыми ресурсами. Собственно, на практике разница выглядит так: при использовании LDAP в окне регистрации выбирается вход в домен, логин пользователя домена, при необходимости - вбивается пароль, а после входа доступ к сетевым ресурсам осуществляется "прозрачно", т.е. так, как если бы сетевые ресурсы находились на локальном жёстком диске (внешний вид иконок расшаренных папок во внимание не принимаем), а при отказе от использования LDAP доступ к сетевым ресурсам осуществляется на более низком уровне "сетевой абстракции": сеть становится фрагментированной и доступ к каждому фрагменту (т.е. компьютеру в сети) осуществляется посредством отдельной процедуры авторизации в явной или неявной форме.
Т.е. по сути существует 2 варианта информационного обмена в рамках локальной сети:
1) Если весь обмен данными в сети может быть сведён к простейшей клиент-серверной модели, когда любая информация для совместного доступа сначала должна быть выложена в централизованном файловом хранилище (один человек положил файл в папку сервера, другой его "по сигналу свыше" забрал оттуда), то никакой LDAP не нужен просто по определению, поскольку разграничение прав доступа пользователей к файл-серверу элементарным образом реализуется на уровне самого протокола NetBIOS;
2) Если нужно, чтобы все компьютеры в сети являлись единой средой информационного обмена, в которой отличие "отдельностоящих" компьютеров пользователей от "папочек" на локальных жёстких дисках становится реально ощутимым только тогда, когда злостный грызун перекусывает сетевой кабель, то имеет полный смысл использовать LDAP, поскольку иначе будет крайне проблематично поддерживать стуктурированную сеть и практически нереально - создать систему разграничения прав при обмене данными на уровне клиент-клиент (без посредников). Т.е. в данном случае LDAP используется для обеспечения безопасности передачи данных в сети за счёт её структурирования на уровне авторизации, что позволяет представить домен в качестве своеобразной абстрактной среды, реализующей Sun'овский принцип "компьютер - это сеть".

Идея правильная? Или я опять где-то недоврубился? Улыбка

Аватар пользователя Dr. Botwing

Re: Зачем в доменных системах ...

LDAP нужен для централизованного управления пользователями сети, авторизации в различных службах, разграничение доступа и т.п. На примерах будет проще, поэтому:

Есть сеть, в которой стоит mail сервер, proxy, какой-нить внутренний информационный (например wiki или confluence), у пользователей нужно отобрать админские права, ибо не хорошо обычным работникам иметь такие права..

Ставим LDAP настраиваем авторизацию пользователей через LDAP, и пользователь сразу прозрачно получает доступ к своей почте, wiki (в которой тоже разграничены права на разные документы), DHCP-сервер (берёт свои настройки из того же LDAP) выдаёт машине ip, proxy собирает статистику по трафику для каждого пользователя, и e-mail клиент загружает адресную откуда..? Правильно, из LDAP, упрощая тем самым поиск необходимых адресов.. И воввсе не нужно помнить n-ое кол-во паролей для каждого сервиса, всё храниться в LDAP и работает сразу после авторизации на локальной машине.. И т.д и т.п.

В общем, я думаю, суть понятна..

RSS-материал