自建一套小小的openLDAP，搞posixGroup、sudoRole by HOST by GROUP、pubkey over ldap、self-signed SSL
生手搞下这几个来，做好测试验证，就得不少时间，关键这种Berkeley DB的老物件，文章不少，能完全组合出自己需求的，就是边测边改了

这两天试了下跟远程进公司的“open虚拟局域网”挂在一起，难度又高了一截
这俩组合的插件走SSL居然不支持自签名证书，插件2018年就不维护了，有个毛子哥解决了这个问题，但pull request一直没merge进去
最后只好clone repo，自己apple patch再build
才算搞定

关键还是不愿意走明文传输（留下口子被tcpdump有点太容易了），不然半小时齐活儿

真觉得这玩意确实吃经验，一次闹明白，之后跟着笔记走就行
但第一次搞，文档清晰就容易，文档不够就是摸黑盒，确实花精力
--
修改:KeepHope FROM 124.64.237.*
FROM 124.64.237.*

用习惯了，很多配置都熟悉了
比如 占or不占client端defauflt route，，甚至server不占default route但client强求server作为default route
又比如根据不同账号推送不同路由条目等等

所以没大毛病的话就不愿意换

【 在 oicu 的大作中提到: 】
: 为什么还不用wireguard，还搞啥open
:
--
FROM 124.64.237.*

CSDN比百度强一星半点有限
不误导你就不错了
而且很多经验是投机取巧，欠下技术债，还的越晚利息越高
更别提行文也稀烂，没有顺序也没逻辑

最好的办法是读官方文档，就算要速通，也得看stackoverflow stackexchange之类的
而且说实在的，不是崇洋媚外哈，要检索这种文档，还是搜英文得到准确结果更容易，学习成本更低，更节约时间

【 在 lvsoft 的大作中提到: 】
: 我这里带的几个学生都这样...
: 每次我看他们怎么装个东西装一星期都搞不定，火大叫过来演示下过程，然后就又双叒叕看到他们打开了csdn...
: 我都说了一万遍不许看csdn了...帮他们解决访问google的问题很简单，但培养他们问出一个正确问题的能力很难。我后来看着他们在搜索引擎里敲的关键字，才深刻的理解什么叫知识的诅咒...
: ...................
--
FROM 124.64.237.*

我是已经把openLDAP踩坑快踩平了才知道还有freeIPA这玩意的
犹豫了一下还是继续openLDAP了，实在不想再来一遍了

【 在 shenmue 的大作中提到: 】
: 这个需求是不是用 FreeIPA 就可以搞定啊？
--
FROM 114.254.9.*

我是已经上了openLDAP的船了，已经花进去半个月了
现在想换简单的，也没心气劲了，今天才搞通memberOf检索
这样用户不管走sssd login linux server还是从web页面登录gitea都无关于人员组织结构，或者他们对应的posixGroup

这么简单一个东西，老手眼里不算啥，我这种做开发的，要玩这种运维系的东西，就得揪着文档从头搞起

您说的什么389，我完全不懂……
freeIPA如果明年有精力可以考虑迁移，前提是有办法迁移……

【 在 JulyClyde 的大作中提到: 】
: 当年我玩openldap的时候发现2.3和2.4好像差别很大
: 我就理解不了2.4那种
: 后来选择性失忆了，都想不起来2.4到底是怎么不好用了
: ...................
--
FROM 43.224.44.*