[Linuxtrent] Re: LDAP, quale?

  • From: azazel <azazel@xxxxxxxxxxxxxxx>
  • To: linuxtrent@xxxxxxxxxxxxx
  • Date: Wed, 26 Oct 2011 14:03:17 +0200

>>>>> "Mauro" == Mauro Colorio <mauro.colorio@xxxxxxxxx> writes:

    Mauro> Nell'obiettivo di unificare l'autenticazione di: Posta,
    Mauro> utenti windows e linux, utenti database, utenti applicativi
    Mauro> vari, sto cercando di capire quale sia la soluzione migliore
    Mauro> per implementare un server LDAP, ma ho parecchi dubbi:

    Mauro> Il fatto che un server si dichiari LDAP significa che
    Mauro> implementano il protocollo X.500?

no, solo Lightweight Directory Access Protocol
    
    Mauro> Se io implemento il mio
    Mauro> server ad esempio con openldap un giorno posso convertirlo a
    Mauro> 389 Directory Server o openDS o Active Directory?

si, quasi sicuramente
    
    Mauro> Sono
    Mauro> openDS o 389 compatibili con i servizi che vorrei
    Mauro> implementare?  postgresql, samba , postfix (o zimbra?)

idem


    Mauro> Dove posso trovare le risposte a questi ed altri dubbi? :)

nei soliti posti, o sulla doc online o nei libri.

Devi approcciare il problema un po' come affronteresti un problema
analogo con degli SQL Server, con il vantaggio che il "formato" isato
per il trasferimento dei dati sulla rete è sempre il medesimo, quindi le
librerie client non sono una per "vendor" come nei server SQL  ma in
genere è una sola per OS, a grandi linee.

Detto ciò come nei server SQL anche servizi LDAP fanno uso di una serie
di "standard" e  protocolli accessori  soprattutto per quanto riguarda
l'autenticazione e la sicurezza della comunicazione (SSL, TLS, SASL,
KERBEROS, GSSAPI, ecc.) e ogni implementazione è diversa a questo
riguardo. Quindi l'intercambiabilità delle diverse
implementazioni dipende anche dalle funzionalità richieste dagli altri
servizi che devono interagire con esse (i tuoi postgreSQL, Samba, ecc.)

Differentemente dai server SQL poi ogni implementazione di un servizio
LDAP è distribuita con una serie di schemi (dove vengono definiti i tipi
di dati che possono essere registrati nel servizio e altro) di base il
cui core è standard e condiviso da tutti ma che possono anche essere
estesi per supportare funzionalità specifiche o semplicemente per
migliorare l'interoperabilità del servizio. Ad esempio le migliaia di
ricette che trovi internet per l'utilizzo di un server LDAP con Samba
consistono in genere oltre al solito giro di matching delle funzionalità
e alla configurazione del servizio anche in una aggiunta di schemi
specifici per supportare i dati che Samba ha bisogno di salvare nell'ldap
    
    Mauro> Ho visto fin'ora che tutta la documentazione parla di
    Mauro> openldap ma che sinceramente trovo piuttosto ostico da
    Mauro> masticare, ho visto un po opends e mi sembra più "umano"

É ostico perché generalmente la conoscienza è molto meno diffusa, poi
non so perché opends ti sembri più umano.
La maggior parte delle ricette che trovi su internet  prevede l'utilizzo
di openldap, che è senza tanti fronzoli ma alla fine secondo me anche il
più semplice da metter su. Il 389 Direcory Server (aka Netscape Direcory
server aka  Fedora Direcory Server) è molto interessante perché ha una
serie di features in più e una interfaccia di gestione integrata e specialmente
se accoppiato anche con FreeIPA [1]_ per la gestione dell'identità
digitale  ma che non ho ancora provato perché quando ne avevo bisogno non
aveva una pacchettizzazione debian funzionante anche se recentemente mi
pare le cose siano migliorate.

_ [1]: http://www.freeipa.org/page/About

--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

Other related posts:

  1. Home
  2. linuxtrent
  3. Archive
  4. 10-2011