The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

15.03.2008 16:18  Перевод интервью c главным архитектором проекта OpenLDAP

Говард Чу - главный архитектор проекта OpenLDAP и его основного корпоративного спонсора Symas Corporation. OpenLDAP - это свободная (и с открытым исходным кодом) реализация протокола LDAP, обеспечивающего общие адресные книги, единую аутентификацию, автоматическое подключение домашних каталогов и совместный доступ к файлам для клиентов, работающих под управлением ОС Linux, Unix, Mac и Windows.

Вопрос: Не могли бы вы немного рассказать о своей работе, проекте OpenLDAP и его отношениях с Symas?

Ответ: Что же, как главный архитектор проекта OpenLDAP я принимаю решения о том, что следует включать в код, а что - нет. По большей части разработчики сообщества OpenLDAP работают над тем, что выберут сами.

Я внес свой первый вклад в OpenLDAP в 1998 году и вскоре после этого был приглашен в основную команду разработчиков. Под руководством Курта Зейленга (Kurt Zeilenga) бОльшая часть ранней разработки OpenLDAP была сфокусирована на устранении проблем, связанных с переносимостью и реализации LDAPv3.

Более радикальная эволюция кода со времен работы, проделанной над ним в Мичиганском университете была моей инициативой и это по большей части мой код. Я был полностью занят в работе над проектом, начиная с 1999 года как основатель Symas, решивший инвестировать средства в проект путем финансирования моего участия в нем.

Вопрос: Как вы сравниваете OpenLDAP с проприетарными службами каталогов, такими как Active Directory или SunOne?

Ответ: Active Directory настолько неправильно реализована, что едва заслуживает упоминания. Она попросту несовместима со спецификациями LDAP, что ухудшает возможности взаимодействия. А дизайн ее базы данных настолько плох, что сам по себе может вывести эту службу каталогов из строя.

Наша недавняя оценка работы Active Directory и Active Directory Application Mode (ADAM) в качестве LDAP-серверов и тесты производительности, показавшие, что AD и ADAM работают в 3-5 раз медленнее (по сравнению с OpenLDAP - прим. пер.), убедили нас в том, что корпоративные стратегии опирающиеся на эти службы каталогов ведут к неприятностям.

SunOne в течение нескольких лет была, пожалуй, ведущим образцом технологии службы каталогов. Тем не менее, первоначальные разработчики уже давно отошли от работы с кодовой базой и теперь она показывает свой возраст и многочисленные хорошо документированные проблемы со стабильностью и удобством сопровождения.

OpenLDAP сегодня занимает лидирующие позиции в области производительности, масштабируемости и надежности. К сожалению, мы не можем опубликовать результаты сравнения OpenLDAP и SunOne из-за лицензионных ограничений.

SunOne ныне заменяется на OpenDS, проект каталога с открытым исходным кодом, написанный на Java, но это ничего не значит. OpenLDAP не имеет себе равных среди других служб каталогов, проприетарных или с открытым исходным кодом. И проприетарные службы среди прочих - это лишь попытка спрятать грязное белье и пустая трата времени и денег.

Вопрос: Мы наблюдаем возникновение большого количества ПО с открытым исходным кодом, которое прекрасно работает в корпоративной среде. Какое место в этом множестве вы отводите OpenLDAP?

Ответ: Я думаю, что лучший ответ на этот вопрос вы получите, обратившись к Open Source Investment Portfolio и Open Source Middleware Stack компании Hewlett-Packard. В качестве службы каталогов они выбрали OpenLDAP (а Symas - в качестве партнера для техподдержки).

Несколько меньших независимых поставщиков ПО также выбрали OpenLDAP (наиболее заметными среди них являются Ventyx и Zimbra) и мы ожидаем, что их количество будет расти.

Вопрос: Похоже, что у каждого Open Source проекта есть своя собственная схема LDAP. Как решаете проблемы, связанные с множеством схем, а также вытекающие отсюда проблемы несовместимости и сложности?

Ответ: Множественность схем в каталогах LDAP на самом деле вполне поддается управлению. Главное - убедить разработчиков публиковать спецификации их схем для облегчения адаптации. Например, мы работаем с разработчиками Samba и группой разработчиков Kerberos из IETF над созданием стандартной схемы LDAP для центра распределения ключей Kerberos.

Мы создаем рациональное надмножество схем, в настоящее время использующихся в Heimdal и MIT, которые затем могут быть использованы в Samba и других приложениях, которым нужны Kerberos и LDAP. Все очень просто: люди должны взаимодействовать для того, чтобы могли взаимодействовать создаваемые ими программы.

Меня слегка удивляет, что эти проблемы вообще относят на счет LDAP. Вы крайне редко сможете столкнуться с настоящей несовместимостью в определениях схемы. Обычно вы всего лишь обнаруживаете, что опубликованная стандартная схема является неполной или неподходящей для какого-то определенного приложения. Этого и следует ожидать, поскольку большинство опубликованных схем - это стартовые варианты и подразумевается, что они будут расширяться и дорабатываться для совместимости с другими схемами. Для сравнения: управление схемами в реляционных базах данных - по-настоящему трудная проблема.

В мире SQL нет общих определений, как в X.500/LDAP. Фактически нет даже общего SQL - есть множество несовместимых между собой диалектов. Даже такие фундаментальные вещи, как элементарные типы данных (целое, 64-битное целое и т. д.) не имеют стандартного определения в разных реализациях SQL.

Конечно, нам приходится сталкиваться с ситуациями, когда необходимо обучение. Мы проводим много официальных и неофициальных консультаций для организаций, переходящих на OpenLDAP. Время от времени возникают проблемы совместимости, но они легко устраняются по мере того, как технические специалисты начинают проходить подготовку в "университете LDAP" компании Symas.

Вопрос: Каким образом сообществу Open Source следует пропагандировать использование OpenLDAP организациями?

Ответ: Во-первых, о выборе LDAP в качестве службы каталогов. Мы видим организации и Open Source-проекты, реализующие хранилища данных с использованием других технологий и их масштабируемость, производительность или управляемость крайне редко оказываются адекватными для развертывания в масштабах предприятия. LDAP предоставляет превосходную и легкодоступную базу для хранения данных каталога.

Во-вторых, потратьте некоторое время на то, чтобы дать оценку вашему использованию OpenLDAP. После принятия решения о вложении денег в LDAP вам следует провести сравнение технологий LDAP, наиболее соответствующих стандартам и предложить вашим пользователям возможность легкого развертывания OpenLDAP.

В-третьих, следует протестировать производительность службы каталогов с открытым исходным кодом с использованием предложенной схемы, репрезентативных образцов данных, нагрузок и количества записей, соответствующих нуждам организации.

  1. Главная ссылка к новости (http://www.computerworlduk.com...)
Автор новости: Aleksei Zhbanov
Тип: Обобщение
Ключевые слова: LDAP, OpenLDAP, ActiveDirectory, interview
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, ture, 16:39, 15/03/2008 [ответить] [смотреть все]
  • +/
    Может кто меня просветит, что eDirectory - это забытое вчера без будущего? ну или жутко специализированная и уже не нужная реализация LDAP?

    Просто я для себя ни как не пойму, зачем нынче нужен eDirectory и что с ним еще делают опытные люди.

     
     
  • 2.2, Hety, 17:10, 15/03/2008 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    А что в нем так плохо И почему это прошлое Как я понимаю это аналог АД от Нов... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.4, ture, 17:37, 15/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Да вот не могу понять как в NTFS на компах пользователей права из NDS прописыв... весь текст скрыт [показать]
     
     
  • 4.7, Hety, 19:24, 15/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Переводить серваки и оставить юзеров на винде Я сейчас смотрю в сторону eDirect... весь текст скрыт [показать]
     
     
  • 5.11, ture, 21:51, 15/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Etersoftовский скоро к постгри смогет, но программеры 1С народ туповатый - чуть ... весь текст скрыт [показать]
     
     
  • 6.15, Hety, 03:47, 16/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Ну у нас 1С база вообще на шаре лежит Не такая большая Домен уже год тьфу тьф... весь текст скрыт [показать]
     
     
  • 7.21, ture, 10:20, 16/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Мое почтение. Мне до этого далеко.
     
  • 6.28, globus, 06:20, 17/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Скупая слеза по щике Что жа вы там с виндами то этими делаете непотребн... весь текст скрыт [показать]
     
     
  • 7.42, ture, 18:07, 17/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Может у Вас один-два узера один админ на все а у нас сотни узеров и пара отуп... весь текст скрыт [показать]
     
  • 4.8, Efim, 19:32, 15/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Если надо полностью убежать от M , посмотрите погуглите на тему 1C-сервера для... весь текст скрыт [показать]
     
     
  • 5.13, Юзер, 22:53, 15/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Какая бета Уже давным-давно используется Только толку мало от него, т к по... весь текст скрыт [показать]
     
     
  • 6.19, olkh, 04:57, 16/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Не так уж и сложно со стандартными Да, текущие конфигурации требуют не очень бо... весь текст скрыт [показать]
     
     
  • 7.24, Юзер, 18:45, 16/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Управляемые блокировки нужно делать, а для этого нужно ОЧЕНЬ хорошо разобраться ... весь текст скрыт [показать]
     
  • 6.22, ture, 10:29, 16/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Понимаю, что тему про мертвую 1С толку мало малить, но все же Какого порядка ба... весь текст скрыт [показать]
     
     
  • 7.25, Юзер, 19:06, 16/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Не могли бы вы немного точней задать вопрос Есть пример базы 7 7 SQL 80 Гб - то... весь текст скрыт [показать]
     
     
  • 8.41, ture, 18:03, 17/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Не вопрос 80гб говоришь turboMD dll, 1cpp dll, ADO или ODBC из 1С Что з... весь текст скрыт [показать]
     
  • 4.26, sda, 21:23, 16/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Чтоже у вас за кривость рук, что у вас цитирую напрягает неободимость поднимать... весь текст скрыт [показать]
     
     
  • 5.44, ture, 18:10, 17/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Правда, что это?
     
  • 4.35, ram_scan, 11:29, 17/03/2008 [^] [ответить] [смотреть все]  
  • +/
    В рамках NTFS - по человечески никак Ограничение виндовозной системы раздачи пр... весь текст скрыт [показать]
     
     
  • 5.45, ture, 18:17, 17/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Вот этого ответа я ждал и боялся Спасибо PS Остается только надеяться на безд... весь текст скрыт [показать]
     
  • 1.3, ZANSWER, 17:17, 15/03/2008 [ответить] [смотреть все]  
  • +/
    Было бы удивительно, если бы он сказал, что у них есть проблемы с мульти-мастер репликацтией, не совместимом форматом ACL с ведущими DS, от SUN и Red Hat, нет равных OpenLDAP, только об этом не знают в Red Hat, делая свой RHDS/FDS...:)

    З.Ы. SunONE давным давно переименован в Sun Java Sytem Derictory Server, не чем его не заменяют, просто код пишут в рамках OpenDS, а потом бекпортируют в него, что весьма логично, ибо эта модель очень удобна для корпараций...:)

     
     
  • 2.12, sauron, 22:13, 15/03/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Мультимастера у них небудет никогда Мультимастер противоречит самой идее LDAP г... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Аноним, 04:14, 16/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Я не был бы столь категоричным Все меняется Мультимастер есть в тестовой ветке... весь текст скрыт [показать]
     
  • 1.5, Аноним, 17:38, 15/03/2008 [ответить] [смотреть все]  
  • +/
    А разве eDirectory под линукс склепали не на основе допиляного новеловцами OpenL... весь текст скрыт [показать]
     
     
  • 2.6, ture, 18:54, 15/03/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Думаешь я знаю Ладно развивать мою тему, это не по теме новости ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, ReSeT, 21:32, 15/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Ну так для затравки Новелловцы сделали свою NDS прообраз eDirectory в 1993 го... весь текст скрыт [показать]
     
     
  • 4.16, Hety, 03:48, 16/03/2008 [^] [ответить] [смотреть все]  
  • +/
    LDAP - это стандарт, нет АД, OpenLDAP насчет еДира хз - его реализации Или я... весь текст скрыт [показать]
     
  • 1.10, Deepwalker, 21:40, 15/03/2008 [ответить] [смотреть все]  
  • +/
    А кто вам сказал, что в openldap нет мультимастера?
    Но резковат дядечка, круче него только горы.
     
  • 1.17, Ilya Evseev, 03:53, 16/03/2008 [ответить] [смотреть все]  
  • +/
    Жаль, что нет сравнения с FedoraDS.
     
     
  • 2.20, Sarge, 09:41, 16/03/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    +1

    Даешь полномасштабное сравнение FDS vs MDS vs OpenLDAP

     
  • 1.23, Аноним, 16:29, 16/03/2008 [ответить] [смотреть все]  
  • +/
    Что такое MDS?
     
     
  • 2.27, gaux, 21:49, 16/03/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >Что такое MDS?

    Mandriva Directory Server

     
     
  • 3.29, Аноним, 06:34, 17/03/2008 [^] [ответить] [смотреть все]  
  • +/
    А вот Mandriva Directory Server это набор средств для управления в том числе LDA... весь текст скрыт [показать]
     
     
  • 4.31, ZANSWER, 07:22, 17/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Да ну, они использую Linbox Derictory Server, который они купили вместе с контор... весь текст скрыт [показать]
     
     
  • 5.46, SCIF, 04:18, 18/03/2008 [^] [ответить] [смотреть все]  
  • +/
    По-моему Вы не правы Насколько мне не изменяет память - MDS - открытый продукт ... весь текст скрыт [показать]
     
     
  • 6.52, ZANSWER, 07:34, 18/03/2008 [^] [ответить] [смотреть все]  
  • +/
    По-моему Вы не правы Насколько мне не изменяет память - MDS - открытый продукт ... весь текст скрыт [показать]
     
     
  • 7.54, SCIF, 07:45, 18/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Гм Действительно Вы правы Самое интересное, что тут http www linbox com ucom... весь текст скрыт [показать]
     
  • 1.30, Ne01eX, 06:55, 17/03/2008 [ответить] [смотреть все]  
  • +/
    Меня вот что интересует: Какая-либо свободная реализация LDAP (OpenLDAP, FDS и.т.п, кроме eDirectory т.к eDirectory, насколько я понял, этого не умеет.) позволяет создавать учетные записи только на сервере, без необходимости предварительного создания их на клиентской машине, как это сделано в проприетарной AD от MS? Кто-нибудь в курсе?
     
     
  • 2.32, Осторожный, 08:42, 17/03/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ничего не понял Учетные записи создаются в ldap-каталоге При этом home user м... весь текст скрыт [показать] [показать ветку]
     
  • 1.33, Ne01eX, 09:26, 17/03/2008 [ответить] [смотреть все]  
  • +/
    >>Ничего не понял !
    >>Учетные записи создаются в ldap-каталоге
    >>При этом /home/user можно не создавать.
    >>В чем проблема ?

    Конкретизирую вопрос: мне действительно не придется создавать руками учетки на клиентских машинах, при использовании свободных реализаций LDAP? Конкретно, при использовании OpenLDAP или FDS?

     
     
  • 2.34, andrey, 11:21, 17/03/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    это вообще что такое HOME если воспользуетесь pam_mkhomedir то HOME создатьс... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.38, Ne01eX, 12:48, 17/03/2008 [^] [ответить] [смотреть все]  
  • +/
    А чем мне воспользоваться, что бы домашний каталог с соответсвующими локальными ... весь текст скрыт [показать]
     
     
  • 4.39, squirL, 14:40, 17/03/2008 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален используйте www pgina org позволяет логинится на Windo... весь текст скрыт [показать]
     
  • 4.48, Аноним, 05:46, 18/03/2008 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Тебе тогда надо поднять домен на самбе с аутентификацией... весь текст скрыт [показать]
     
     
  • 5.55, SCIF, 07:51, 18/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Дык тогда придётся пароли светить Либо вводить лишний раз ... весь текст скрыт [показать]
     
  • 3.50, Аноним, 06:30, 18/03/2008 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Нет, это просто учётные записи или пользователи Похоже ... весь текст скрыт [показать]
     
  • 2.37, Осторожный, 12:35, 17/03/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >>>Ничего не понял !
    >>>Учетные записи создаются в ldap-каталоге
    >>>При этом /home/user можно не создавать.
    >>>В чем проблема ?
    >
    >Конкретизирую вопрос: мне действительно не придется создавать руками учетки на клиентских машинах,
    >при использовании свободных реализаций LDAP? Конкретно, при использовании OpenLDAP или FDS?

    Если под учеткой подразумевается uid,gid,username и прочее тогда не придется

    А вот собственно home-каталог пользователя создается либо руками ( скриптом )
    либо автоматически через pam_mkhomedir

    А вообще рекомендую сначала почитать чего-нибудь.
    C такими знаниями внедрить ldap будет тяжело :)

     
  • 2.49, Аноним, 06:11, 18/03/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Придёться, но только один раз в обоих случаях Как показывает опыт может и неско... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.56, Ne01eX, 12:10, 18/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Всем ответившим спасибо, сохраняю топик и буду копать тему глубже.
     
  • 1.36, Аноним, 12:28, 17/03/2008 [ответить] [смотреть все]  
  • +/
    спасибо за перевод
     
  • 1.47, SCIF, 04:27, 18/03/2008 [ответить] [смотреть все]  
  • +/
    > OpenLDAP - это свободная (и с открытым исходным
    >кодом) реализация протокола LDAP, обеспечивающего общие адресные книги, единую аутентификацию, автоматическое
    >подключение домашних каталогов и совместный доступ к файлам для клиентов, работающих

    Так, так. А вот тут поподробней. Каким же замечательным макаром OpenLDAP позволяет автоматом подключать домашние каталоги?? Раз так написано => подразумевается, что они могут монтироваться с удалённого файл-сервера. Верно?? Какое к этому имеет отношение OpenLDAP, кроме тупой раздачи хоума??
    Если есть замена pam_mount - просвятите пожалуйста.
    Наверно тут также как и про "единую аутентификацию" - просто единое хранилище, а чтобы сделать хотя бы централизованную авторизацию уже нужно выходить за рамки OpenLDAP'а и трахетси с памом, а вот сделать именно "единую авторизацию" надо полагать вообще в данный момент под линуксом невозможно, ибо общая "керберезированность" пока что низкая. Буду рад пообщаться по существу на данную тему.

     
     
  • 2.51, Аноним, 06:53, 18/03/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    gt оверквотинг удален Вы совершенно правы, openLDAP не монтирует диски Это во... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.53, SCIF, 07:36, 18/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Спасибо конечно, но чем они друг от друга отличаются я знаю Мне кажется Вы не с... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor