bind 9.3.0 RPMs mit LDAP Backend
Hi, unter ftp://ftp.suse.com/pub/people/ug/RPMs/ liegen RPMs für 9.1, 9.2 und SLES9 von bind 9.3.0 mit aktivem LDAP Backend zum testen. Feedback ist willkommen. -- ciao, Uwe Gansert Uwe Gansert, Server Technologies Team SUSE LINUX Products GmbH, Maxfeldstrasse 5, D-90409 Nürnberg, Germany e-mail: uwe.gansert@suse.de, Tel: +49-(0)911-74053-0, Fax: +49-(0)911-74053-476, Web: http://www.suse.de
Hallo,
Uwe Gansert
Hi,
unter ftp://ftp.suse.com/pub/people/ug/RPMs/ liegen RPMs für 9.1, 9.2 und SLES9 von bind 9.3.0 mit aktivem LDAP Backend zum testen. Feedback ist willkommen.
Ein bischen mehr Hintergrund-Information wäre schon willkommen, bevor ich mich in dieses Abenteuer stürze. - Was bedeutet hier 'aktives LDAP Backend' - Kann der DNS dann noch reverse lookup - Wie sieht es mit dynamischem Update aus - Wo sollen die Vorteile liegen -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
On Friday 26 November 2004 17:45, Dieter Kluenter wrote:
unter ftp://ftp.suse.com/pub/people/ug/RPMs/ liegen RPMs für 9.1, 9.2 und SLES9 von bind 9.3.0 mit aktivem LDAP Backend zum testen. Feedback ist willkommen.
Ein bischen mehr Hintergrund-Information wäre schon willkommen, bevor ich mich in dieses Abenteuer stürze.
Hier die Homepage http://www.venaas.no/ldap/bind-sdb/ Mit dem RPM funktioniert auch noch normales File basiertes DNS.
- Was bedeutet hier 'aktives LDAP Backend'
Zonen können im LDAP liegen und nicht nur in Files.
- Kann der DNS dann noch reverse lookup
ja
- Wie sieht es mit dynamischem Update aus
Das ist eine sehr gute Frage. Wenn man den LDAP updated, dann geht es natürlich. Ich weiss nicht wie es mit z.B: nsupdate aussieht aber das werde ich noch testen.
- Wo sollen die Vorteile liegen
Die Zonen können im LDAP legen, wo sie mit LDAP Browsern leichter und übersichtlicher von remote aus konfiguriert/browsbar werden und wenn man den LDAP sichert, hat man auch ein DNS Backup. Gerade bei grossen Zonen stelle ich mir das übersichtlicher vor aber dazu fehlt mir selbst die Erfahrung. Auch mit Scriptsprachen die irgendwie LDAP ünterstützen (z.B. perl mit Net::LDAP), stelle ich es mir leichter vor mit LDAP zu arbeiten als mit dem parsen von dig oder dem füttern von nsupdate. Jeder muss für sich entscheiden ob er aus einem LDAP basierten DNS Vorteile zieht. Sollte man LDAP überhaupt noch nicht einsetzen, dann lohnt es nicht wegen DNS darauf umzustellen, es sei denn man will experimentieren und basteln. Mich würden jedenfalls Erfahrungsberichte interessieren und wenn jemand Zeit und Lust hat, würde ich mich über feedback freuen. Ich überlege es für die nächste SUSE Linux zu aktivieren. Probleme sehe ich, wie du auch, im update (speziell in Kombination mit DHCP, obwohl wir hier auch einen DHCPD mit LDAP Patch haben) und in der Performance. -- ciao, Uwe Gansert Uwe Gansert, Server Technologies Team SUSE LINUX Products GmbH, Maxfeldstrasse 5, D-90409 Nürnberg, Germany e-mail: uwe.gansert@suse.de, Tel: +49-(0)911-74053-0, Fax: +49-(0)911-74053-476, Web: http://www.suse.de
Hallo,
Uwe Gansert
On Friday 26 November 2004 17:45, Dieter Kluenter wrote:
unter ftp://ftp.suse.com/pub/people/ug/RPMs/ liegen RPMs für 9.1, 9.2 und SLES9 von bind 9.3.0 mit aktivem LDAP Backend zum testen. Feedback ist willkommen.
Ein bischen mehr Hintergrund-Information wäre schon willkommen, bevor ich mich in dieses Abenteuer stürze.
Hier die Homepage http://www.venaas.no/ldap/bind-sdb/ Mit dem RPM funktioniert auch noch normales File basiertes DNS.
Ich habe mir die Seite einmal angesehen und da gibt es einiges zu bedenken. Die wichtigste Aussage ist, das zone files nicht im cache liegen sondern nur über einen ldap request geholt werden. Dies ist einerseits ein Vorteil, da es ein Update problemlos ermgölicht, andererseits sehe ich da einen Nachteil in der geringeren Reaktionszeit. Das dnsZone.schema sollte überarbeitet werden, einige Syntaxdefinitionen gefallen mir nicht, das würde ich anders lösen. Die Sicherheit auf den LDAP Server hat ein zu geringes Gewicht,nur simple bind, keine Verbindung über local socket, aber wenigstens TLS. Es gibt also noch einiges zu Tun, aber es ist ja auch noch beta. [...]
- Wo sollen die Vorteile liegen
[...]
Mich würden jedenfalls Erfahrungsberichte interessieren und wenn jemand Zeit und Lust hat, würde ich mich über feedback freuen. Ich überlege es für die nächste SUSE Linux zu aktivieren.
Ich werde das mal mit OpenLDAP cvs HEAD testen, -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
On Monday 29 November 2004 11:11, Dieter Kluenter wrote:
Die wichtigste Aussage ist, das zone files nicht im cache liegen sondern nur über einen ldap request geholt werden. Dies ist einerseits ein Vorteil, da es ein Update problemlos ermgölicht, andererseits sehe ich da einen Nachteil in der geringeren Reaktionszeit.
ganz genau. Darum sehe ich Performance auch als Problem und obwohl LDAP nun auch recht performant ist, ist der Overhead gegenüber Zonefiles schon enorm - selbst wenn man kein TLS verwendet.
Das dnsZone.schema sollte überarbeitet werden, einige Syntaxdefinitionen gefallen mir nicht, das würde ich anders lösen.
Ich muss gestehen, ich habe das Schema nur überflogen und ich kenne mich zwar mit LDAP aus, bin aber kein LDAP Experte. Was würdest du z.B. als Änderung vorschlagen? Ich fände z.B. die praktischen Zeitkürzel wie 1W oder 5D ganz sinnvoll aber das ist eher Kosmetik denke ich. Ich könnte mir gut vorstellen, dass man noch Einfluss auf die Entwicklung nehmen kann.
Die Sicherheit auf den LDAP Server hat ein zu geringes Gewicht,nur simple bind, keine Verbindung über local socket, aber wenigstens TLS. Es gibt also noch einiges zu Tun, aber es ist ja auch noch beta.
ja, da gibt es sicher einiges zu tun und produktiv einsetzen sollte man das vielleicht noch nicht aber wir sind halt immer vorne mit dabei ;) Einen Blick ist es jedenfalls wert denke ich.
Mich würden jedenfalls Erfahrungsberichte interessieren und wenn jemand Zeit und Lust hat, würde ich mich über feedback freuen. Ich überlege es für die nächste SUSE Linux zu aktivieren.
Ich werde das mal mit OpenLDAP cvs HEAD testen,
okay, prima. -- ciao, Uwe Gansert Uwe Gansert, Server Technologies Team SUSE LINUX Products GmbH, Maxfeldstrasse 5, D-90409 Nürnberg, Germany e-mail: uwe.gansert@suse.de, Tel: +49-(0)911-74053-0, Fax: +49-(0)911-74053-476, Web: http://www.suse.de
Uwe Gansert
On Monday 29 November 2004 11:11, Dieter Kluenter wrote:
Das dnsZone.schema sollte überarbeitet werden, einige Syntaxdefinitionen gefallen mir nicht, das würde ich anders lösen.
Ich muss gestehen, ich habe das Schema nur überflogen und ich kenne mich zwar mit LDAP aus, bin aber kein LDAP Experte. Was würdest du z.B. als Änderung vorschlagen? Ich fände z.B. die praktischen Zeitkürzel wie 1W oder 5D ganz sinnvoll aber das ist eher Kosmetik denke ich. Ich könnte mir gut vorstellen, dass man noch Einfluss auf die Entwicklung nehmen kann.
Ich würde z.B.bei dem Attribut dNTTL eine ORDERING Rule hinzufügen, wenn das nicht erwünscht ist würde ich die Syntax auf von integer auf numericString ändern. Ferner würde ich versuchen so weit wie möglich nur Attributerweiterungen bestehender Attribute zu konstruieren, das erleichtert die Pflege. Dann sollte man bei jedem Attribut prüfen, ob nicht die Syntax Directory String angemesser wäre als IA5string, auch im Hinblick auf zukünftige 8bit Namensräume. [...] -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
Uwe Gansert
On Monday 29 November 2004 11:11, Dieter Kluenter wrote:
Mich würden jedenfalls Erfahrungsberichte interessieren und wenn jemand Zeit und Lust hat, würde ich mich über feedback freuen. Ich überlege es für die nächste SUSE Linux zu aktivieren.
Ich werde das mal mit OpenLDAP cvs HEAD testen,
okay, prima.
Ich werde wohl bind-9.3.0 selbst patchen müssen, da ich die rpm's nicht installieren kann. marin:/work # rpm -i --force bind-9.3.0-2.1.src.rpm Fehler: bind-9.3.0-2.1.src.rpm: rpmReadSignature failed: region trailer: BAD, tag 1040187392 type 134217727 offset 1342177280 count 268435456 Fehler: bind-9.3.0-2.1.src.rpm cannot be installed Diese Meldung kommt bei allen Paketen. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
On Monday 29 November 2004 12:51, Dieter Kluenter wrote:
Ich werde wohl bind-9.3.0 selbst patchen müssen, da ich die rpm's nicht installieren kann.
marin:/work # rpm -i --force bind-9.3.0-2.1.src.rpm Fehler: bind-9.3.0-2.1.src.rpm: rpmReadSignature failed: region trailer: BAD, tag 1040187392 type 134217727 offset 1342177280 count 268435456 Fehler: bind-9.3.0-2.1.src.rpm cannot be installed
Diese Meldung kommt bei allen Paketen.
das ist seltsam. Ich kann die auf verschiedenen SUSE Linux installieren und andere haben das angeblich auch schon geschafft. Die RPMs sind signiert aber das sollte kein Problem sein. Ich werde dem mal nachgehen. Welche SUSE Linux benutzt du? -- ciao, Uwe Gansert Uwe Gansert, Server Technologies Team SUSE LINUX Products GmbH, Maxfeldstrasse 5, D-90409 Nürnberg, Germany e-mail: uwe.gansert@suse.de, Tel: +49-(0)911-74053-0, Fax: +49-(0)911-74053-476, Web: http://www.suse.de
Uwe Gansert
On Monday 29 November 2004 12:51, Dieter Kluenter wrote:
Ich werde wohl bind-9.3.0 selbst patchen müssen, da ich die rpm's nicht installieren kann.
marin:/work # rpm -i --force bind-9.3.0-2.1.src.rpm Fehler: bind-9.3.0-2.1.src.rpm: rpmReadSignature failed: region trailer: BAD, tag 1040187392 type 134217727 offset 1342177280 count 268435456 Fehler: bind-9.3.0-2.1.src.rpm cannot be installed
Diese Meldung kommt bei allen Paketen.
das ist seltsam. Ich kann die auf verschiedenen SUSE Linux installieren und andere haben das angeblich auch schon geschafft. Die RPMs sind signiert aber das sollte kein Problem sein. Ich werde dem mal nachgehen. Welche SUSE Linux benutzt du?
SuSE-9.1. Aber wenn du nur eine Tarball plus .spec file auf den FTP-Server legst ist das auch OK. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53
participants (2)
-
Dieter Kluenter
-
Uwe Gansert