Мигрировать или не мигрировать?

LDAP
Относительно вопроса о том, мигрировать или не мигрировать на систему хранения настроек LDAP-каталога в дереве cn=config вместо плоского конфигурационного файла slapd.conf, могу сказать совершенно точно, что только крайний консерватизм, берущий свои истоки из глупости и простого непрофессионализма (непонимания, отсутствия опыта работы с другими серверами каталогов, где в отличие от OpenLDAP, конфигурация всегда хранилась как часть самого каталога) может стать препятствием на пути использования исключительно cn=config.

У cn=config масса преимуществ, среди которых:

1) Прозрачный и всегда понятный иерархический вид конфигурации, существенно снижающий вероятность ошибки из-за указания параметров «не там», благодаря тому, что в cn=config настройки представлены в том виде, в котором с ними работает сам сервер

2) Динамическая конфигурация — можно управлять OpenLDAP-сервером в режиме «онлайн», не нужно перезапускать сервер или заставлять его перечитывать свои конфиги после каждого изменения

3) Из пункта 2 следует, что и новые суффикы каталога, и списки контроля доступа к ним можно создавать «налету» Сервер и обслуживаемый им каталог могут постоянно меняться, используемая схема может расширяться как угодно и когда угодно, но сам по себе сервер всегда будет доступен, ничто не помешает аптайму OpenLDAP 'а устремиться к бесконечности

4) Хотя cn=config отображается в пространстве каталога и доступен для просмотра/модификации по протоколу LDAP, тем не менее у вас всегда остаётся возможность в каких-то критических ситуациях получить доступ к конфигурации даже при остановленном сервере. Магия проста: бэкендом для cn=config является обычная файловая система UNIX, то есть это просто множество ldif-файлов, описывающих объекты, вложенных в каталоги-узлы, отражающие иерархические связи внутри дерева. Если что-то пошло не так, всегда можно вооружиться любимым текстовым редактором и отредактировать нужные объекты дерева так, словно вы правите обычный LDIF (да ведь по сути, так оно и есть).

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.