LDAP på Samfundet

LDAP er ikke lenger i bruk på Samfundet. Se PADL. Informasjonen under er kun historisk.

LDAP er en protokoll for å gjøre oppslag i en katalogstruktur. Kan i teorien brukes til alt mulig rart, men heldigvis unngår de fleste det. Vi bruker det for oppslag av Unixbrukere for arbeidsstasjoner og tjenere. Tenk /etc/passwd og /etc/group på speed. Inkludert baksmellen.

LDAP-oppsettet vårt er rimelig standard: Vanlige POSIX-skjema for gecos og syncreplengine for replikering. cirkus er LDAP-master og altersex er slave.

Datagrunnlag

På cirkus kjører /root/migrate/ldapsync/passwd2ldap.py via cron hvert tiende minutt. Det tar inn /etc/passwd med venner og oppdaterer LDAP etter beste evne - sletter gamle elementer, legger til nye og oppdaterer informasjon i eksisterende. (cirkus får for øvrig passwd fra cassarossa med puppet.)

Ting vi ikke bruker LDAP til

Mozilla-profiler
Kalender
Personlig og upersonlig adressebok
E-post-alias
Oppskrifter
Passordbackend til Samba
Autentisering (vi har ingen passord i LDAP, si voff til Kerberos)

Replikering

(Tips fra Steinar: Finn en søt jente (ev. gutt) og en seng. Følg instinktene.)

Det finnes to modeller: Push og pull. Push er gammeldags, vi bruker pull, som er i vinden. Vi bruker, som ved menneskelig replikering, begge.

Virkemåte

Slaven, altså altersex, kobler til masteren, altså cirkus, og sier den vil ha alle endringer siden sist. Den gir så fra seg en cookie, som forklarer hvilken tilstanden den er i. Master vil da sende endrede oppføringer til slaven, for å hente seg inn igjen om man går glipp av noen oppdateringer. Tilkoblingen blir holdt oppe, og masteren dytter deretter ut alle oppdateringer til slaven fortløpende. Dersom slaven mangler tilstand, får den nødvendigvis hele databasen.

Tilgangskontroll

Alle kan i utgangspunktet slå opp alt av data, så lenge du er på fastnettet til Samfundet.

Lenker: Start, gammel dokumentasjon, linuxusabilityprosjektet, padl