LDAP 設定・管理・プログラミング

http://www.amazon.co.jp/exec/obidos/ASIN/4274065502/
10章の Perl によるプログラミングの部分を除いて読了

表紙は違うけど、この↓動物の表紙の本の日本語訳みたい
LDAP System Administration
http://www.amazon.co.jp/exec/obidos/ASIN/1565924916/250-4979149-1965831

以下、この本でなくて、LDAP について思ったこと（かなりの独断と偏見を含む）のメモ

LDAP のいいところは、データを集中管理できるところ。
アドレス帳として使う話がよくなされているけど、電話帳としてだけ使うなら LDAP はややこしい（RDBMS とかに保存したほうがいいんじゃないか？）。
ツリー構造になっているのはおまけ。OU によるセキュリティ分割のことばっかり考えてると、LDAP が何で便利かわかんなくなってくる。
スキーマ拡張も（それは、アクセスするアプリを作る事を意味するので）安易にしないようが良い。

標準で決まっているスキーマ（object Class） があるので、それにデータ投入する
・ユーザー inetOrgPerson, posixAccount, shadowAccount, sambaAccount, inetLocalMailRecipient
・グループ posixGroup
その他、↓DNS ゾーン情報とか、
・DNS Zope dnsZope
ホスト情報、マウントマップ・・・あらゆるものが LDAP で管理できるようになってるけど、無理に何でも LDAP に置く必要なし。

LDAP の仕組み（プロトコル）がすばらしいというよりは、標準に従って、いろいろなソフトが LDAP からデータを取ってくるようになっていることが良いところ。
アクセスするソフト（モジュール）が LDAP に対応してないと意味ない。

Solaris/Linux/FreeBSD でユーザーアカウントを LDAP を参照したい場合
・NSS (nsswitch.conf) で、NIS マップみたいに、データ元が LDAP だよーと指定
・PAM (pam.conf) で、LDAP のデータで認証するよーと指定
の設定をする。

少しだけ、LDAP がわかった気がする。