Зачем вообще нужен LDAP?

[savio]

Очень много слышал о "LDAP"
Но в чем его суть непонятно....
Прочитал статью http://www.lissyara.su/articles/freebsd ... backbones/
Ну ясно как добавить, отредактировать, удалить запись....
А зачем это все? Я пока понять не могу.
Возьмем например БД, тотже MySql сервер. По аналогии с LDAP я знаю как создать БД, добавить таблиц, отредактировать, удалить БД/таблицы/данные. Но в отличии от LDAP я реально вижу где можно использовать БД. Тот же proftpd с хранением логинов и паролей в БД, или же freeradius+mysql (возможность посмотреть статистику в БД и так далее...)

А в чем "фишка" LDAP? кроме неудобного формата записи команд (например что бы добавить того же пользователя в LDAP, нужно целый файлик наваять...) пока ничего не увидил.... ну и не ясно его практическое использование....
Может кто-то сможет показать на практическом примере, буду очень рад.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[schizoid]

LDAP - протокол доступа к каталогам
MySQL - СУБД
это 2 разные вещи. LDAP - аля Active Directory от Microsoft

это как сравнивать ftp и samba.

[savio]

а можно пару ярких примеров использования LDAP? когда действительно без LDAP все плохо/неудобно???

[warman]

администрирование крупных сеток с расветвленной структурой, к тому же разнесенной географически.
к тому же без лдап не обойтись, если есть необходимость организовать работу выездных специалистов, командированных в филиальные офисы из головного.
да и распределение ресурсов в сетях намного проще организовывать по каталогу пользователей, указывая права на группы из АД/ЛДАП. в этом случае при добавлении ногого соотрудника в группу, ему будут доступны сразу все ресурсы сети, к которым разрешен доступ этой группе.

примеры можно приводить до бесконечности.....

[princeps]

Уже было пара похожих тем.
Приведу пример из моей конторы:
у меня есть такие сервисы - почта (smtp, imap, pop3, веб-интерфейс), файлопомойка, ftp, внутренний интранет-портал для хранения документов, прокси-сервер с авторизацией по логину\паролю, всякие веб-сервисы типа zabbix, glpi, dotproject и т.п., удалённое управление десктопами юзеров через vnc и ещё разные другие. Юзер в моей конторе должен запомнить только одну пару логин\пароль, чтоб получить доступ ко всем этим сервисам. Не будь они все завёрнуты на ldap, им пришлось бы запоминать десяток паролей.
Когда в конторе появляется новый работник, моим админам достаточно создать одну запись в ldap, вместо того, чтобы делать десяток учёток во всех этих сервисах. Чтобы дать права на что-то, юзера достаточно ввести в соответствующую группу в LDAP или удалить из неё. Например, добавляешь чувака в "Администраторы vnc", vnc его сразу начинает пускать к десктопам, не нужно на каждом из 120 компов перенастраивать vnc-сервер. Ну и т.д.

[savio]

хорошо, а если юзать MySql? чем этот вариант хуже? я просто хочу въехать в суть LDAP... мне тут писали что LDAP и MySQL это тоже самое что сравнивать ftp и samba. Но если честно я пока не вижу этой разницы.

[princeps]

в принципе, можно сделать и в MySQL бэкенд юзеров. Но для этого тебе придётся либо писать скрипт, который будет синхронизировать учётки и при внедрении нового сервиса этот скрипт модифицировать. Или допиливать сами приложения, чтоб они брали учётки из одного места в мусе. А ldap уважающие себя приложения поддерживают из коробки, т.е. указал ему адрес сервера, юзера с правами просмотра, корень поиска и вперёд. К тому же некоторые программы в принципе не поддерживают sql, например, адресные книги некоторых почтовых клиентов. А ldap они поддерживают. Или, например, при входе в винду юзеры у меня вбивают логин\пароль, которые винда потом дёргает из лдап'а, а в мусе она не умеет учётки хранить.
Потому что ldap - это не база данных, это стандарт для доступа к учёткам. Для собственно хранения можно использовать любую БД, тот же MySQL. Кстати, OpenLDAP вроде умеет так делать.