LDAP Einsatz

[Semeaphoros]

Bin gerade damit beschäftigt, jemandem beim LDAP-Troubleshooting zu unterstützen. Ein namhafter Hersteller - ich will ihn hier nicht nennen - behauptete dann, wenn Microsoft-LDAP funktioniert (aus dem IEx heraus mit Protokoll "LDAP://Verzeichnisserver"), dann funktioniert auch unsere Applikation. Bei der Analyse habe ich dann festgestellt, dass diese Aussage unsinnig war, unterdessen weiss ich, dass ältere Microsoft-LDAP Clients standardmässig mit einem Country Code C=xx (wobei xx die lokal installierte Sprachversion darstellt, also US, wenn englisch installiert wurde) die Abfrage macht und damit häufig auf die Nase fällt. Der MS-Client lässt sich dabei nicht beeinflussen.

Da man eigentlich selten etwas über solche Probleme hört, interessiert es mich nun, wie bei Euch der Einsatz von LDAP ist. Vielleicht kann der eine oder andere einen kurzen Erfahrungsbericht machen?

Danke

[Marinero Atlántico]

nur meine 2 cents, kein Erfahrungsbericht:

Prinzipiell halte ich LDAP für eine gute Idee. Ein hierarchisierter, replizierbarer Verzeichnisdienst, für den es von den meisten Plattformen eine standardisierte API gibt. Spezialisiert für schnelle READ-Zugriffe.

Man kann da Gruppen/Personen hinterlegen oder auch Factories für bestimmte Dienste.
Man hat damit aber z.B. keinen Single Sign On. Autorisierung/Authentifizierung ist davon getrennt. Man hat vielleicht eine gemeinsame Datenbank für User-Daten.  Nur sind die meisten Systeme so aufgebaut, dass man da nicht einfach sagen kann: Heute haben wir diese 7 über Jahre gewachsenen Systeme und morgen kommt die Wende und alle benutzen magic ldap.

Nur hab ich da auch meine Zweifel wie Standard der Standard ist.
Hab jedenfalls viel Gejammer von Java-Leuten über MS-Active Directory gehört.
Die Versuchung für einen Hersteller, mit "seinem" LDAP Server die eigene Plattform zu übervorteilen und andere künstlich zu blockieren dürfte hoch sein.
Am glaubwürdigsten für Standardkonformität ist deshalb für mich openLDAP.

In der Frühphase von J2EE existierte - wie wir heute wissen - eine gewisse "wir können alles transparent über mehrere Server verteilen"-happiness. Man hat bestimmten code und meldet einen Einstiegspunkt für den code in LDAP ein. Da weiss jeder, wo man suchen muss und code wird besser wiederverwendbar.
Diese Verteilungs-Happiness hat aber auch deutliche Nachteile. Z.B. ist der LDAP Server ein point of failure (wenn er ausfällt, geht nichts mehr). Also braucht man den LDAP in einem Cluster für bessere Ausfallsicherheit.
Ausserdem sind calls gegen einen entfernten Server immer teurer als calls innerhalb eines Servers:
- pass by value statt pass by reference
- Netzwerk-Latenz
- Overhead durch Konvertierung method-call in Protokoll und zurück.
 
Eine Organisation sollte sich deshalb G.U.T. überlegen, wofür sie LDAP braucht.
Erinnert mich ein bischen an Suleiman über Message Oriented Middleware:
http://www.jroller.com/page/fate/?anchor=your_mom_sucks_and_doesn

Traue niemanden und IT Architekten schon garnicht.

Axel

[koehlerbv]

Nur hab ich da auch meine Zweifel wie Standard der Standard ist.

Wo Axel Recht, hat er Recht. Man nehme nur mal die Suchfunktion hier im Forum und gebe "LDAP" ein. Ein Quell reiner Freude ... Es ist wie überall: Man muss sich überlegen, was man will, was es bedeutet, was es bringt und was es kostet. Und so weiter. "LDAP und einfach wohlfühlen" ... na, Ihr habt ja bestimmt auch Eure Erfahrungen ... 

Bernhard

[Don Pasquale]

LDAP ?

Hör mir bloß auf.

Wenn man recherchiert findet man tausen tonnen webseiten, wie toll LDAP ist. Konkret erklärt einem aber keiner wie es geht.

Kann sein dass es brauchbar ist, _ich_ bin nur leider nie dahintergekommen.

Ciao
Don Pasquale

[wfh]

Kleiner Erfahrungsbericht:
Wir haben Sametime 2.5 auf 6.51 umgestellt. Dabei muss man auf LDAP für das Directory umstellen.
Tja, dauert alles ein wenig länger als vorher, man muss sich mit Filter rumquälen, die einfache Anbindung von AD ist gar nicht so einfach, daher wieder Domino als LDAP-Directory.

Da hat man was zu tun. Und Sametime ist nur ein kleine Geschichte. Mit Workplace wird das noch viel interessanter. Unsere Notes/Domino-Welt hat schon auch ihre Vorteile.

Wolfgang
 

[Semeaphoros]

Das ergibt ungefähr das Bild, das ich erwartet habe: das Interesse, LDAP einzusetzen, ist bei einer funktionierenden Domino-Infrastruktur nicht besonders gross. Domino bietet die wesentlichen Funktionen, die LDAP in anderen Organisationen interessant macht, bereits und ein Vorteil von LDAP entsteht nur dann, wenn andere Faktoren im Umfeld zu einem Informationsaustausch zwischen der Domino-Infrastruktur und anderen Strukturen erforderlich ist. Vielen Dank an alle, die zu dieser Umfrage mit einer (oder 2) Stimmen beigetragen haben und natürlich vielen Dank für die aufschlussreichen Kommentare.

[hallo.dirk]

das Interesse, LDAP einzusetzen, ist bei einer funktionierenden Domino-Infrastruktur nicht besonders gross.

Hm, leider zu spät.

Aber wenn ich Quickplace mit ins Boot nehme und mehrere Verzeichnisse schreit das greadezu nach Nutzung der LDAP Task.
Allerdings war das unter 2.08, ob sekundäre Verzeichnisse mittlerweile anders angegangen werden können weis ich nicht.

Gruss

Dirk

[Thomas Schulte]

Und wenn dann noch eine NDS dazukommt, dann wird es erst richtig interessant.

LDAP ja, wenn noch andere Teile mit reinspielen. Bei Domino Native eher nicht.

[flaite]

Und wenn dann noch eine NDS dazukommt

Was ist das?

[Thomas Schulte]

NovellDirectoryService, Das Gegenstück zum ActiveDirectory von Microsoft und nach dem was mir unsere Admins erzählen um Klassen besser.