Re: Re: CGP LDAP performance

От: Vladimir A. Butenko <CGatePro_at_mx_ru>
Дата: Tue 13 Apr 2004 - 02:30:31 MSD

On Mon, 12 Apr 2004 13:05:47 +0400
  <CGatePro@mx.ru> (Michael Kulakov) wrote:

> > Да, не так. Не надо ничего искать, просто вынимайте записи по DN
> > uid=<username>,cn=domain.com (если directory Integration значения
> > дефолтные), и вот тогда если будет тормозить при числе записей меньше
> > миллиона - будем разбираться. Если, конечно, при этом еще версия не будет
> > многолетней давности.
>
> правильно искать, безусловно, по dn. но очень много "ldap pluguins"
> ( mod_ldap* etc ) - не делая предположений о том, как образуется dn ищет
> записи именно таким способом. Поэтому, при подходе: "ищите только по dn"
> не получится использовать все эти "plugins" совместно с cgp хоть в
> сколько-нибуль нагруженном варианте.
>
> то есть cgp пока нельзя использовать как быстрый, легкий и продвинутый
> generic ldap server :(

Можно. Для этого надо индексы по UID создавать. Но дело не в этом. Дело в том, что "технология" в этих плагинах, "заточенных" под OpenLDAP и iPlanet - порочная по определению, и работать не будет по тому же определению. Во-первых, из-за многодоменности CGatePro - см. предыдущее письмо. Во-вторых, собственно, уже не надо - но если хочется....

Никто мне не мешает сделать ветку в директории uid=musya,cn=host.ru,o=mydarlings, и набить его адресами подружек.

Ваш "плагин" будет находить адреса в нем так же, как и в "настоящем" поддереве. Это тоже самое, как если бы MSWord искал свои префернсы на диске при помощи поиска ВСЕХ файлов, у которых есть имя msword.*   

> ps. особенно "смешно" выглядит попытка идентификации. Вместо того чтобы
> взять от пользователя пароль и просто попытаться bind в ldap через
> dn(login)/password - сначала ищем запись, потом вытастикиваем из нее dn, и
> уже потом пытаемся ldap_bind по найденному dn. Особо одаренные вырианты
> пытаются вытащать из ldap пароль и сравнивать его с пользовательским уже
> на клиентской ( ldap ) стороне.

Да, именно так и делается. И удивляться тут нечему, увы. Просто яйцеголовые профессора, которые перетаскивали X.500 в Internet слабо себе представляли и X.500, и, главное, Internel - зато знали кучи умных слов, которыми и нашпиговали LDAP стандарт. А шустрые пионэры, которые не понимали ни одного из этих очень умных слов - слабали некие скриптики, которые работали на тех 5 lDAP инсталяциях, которые были у них под рукой.

И с тех пор эта тягомотина продолжается. Влезать в нее имеет смысл очень редко, чаще, как в Вашем случае - если пойти на поводу и сделать по-пинэрски, то результат тоже будет пионэрским - будет работать "пока что-то не добавится".   

> > >PS: Изначальная задача уже тут обсуждалась - проверка RCPT на релеях.
> > >Кто-то нашел способ реализовать не через LDAP?
>
> С уважением,
> Михаил Кулаков

Sincerely,
Vladimir Получено Mon Apr 12 22:30:36 2004

Этот архив был сгенерирован hypermail 2.1.8 : Tue 21 Feb 2006 - 03:14:56 MSK