Może krótko, jak już się wychyliłem: 1. LDAP umożliwia centralizację bazy użytkowników, także z hasłami i danymi adresowymi. 2. Możliwe jest per user/per group sterowanie dostępem do informacji w bazie (np tylko Zarząd widzi dane adresowe inne niż mail, itede itepe) 3. LDAP można sprząc z PAM 4. Znakomita większość oprogramowania potrafi autoryzować użytkowników albo w PAM albo bezpośrednio w LDAP (albo przez SASL, ale tej technologii akurat nie ćwiczyłem). Obejmuje to np. mediawiki, serwery pocztowe, moodle'a, parę portali (m. in. joomla i okolice), logowanie do Linuksa (nss_ldap + pam_ldap), logowanie do Windowsa (pGina + plugin ldap), autoryzację w apache'u (mod_auth_ldap). YMMV 5. LDAPa konfiguruję na ogół tak: dostęp z zewnątrz tylko przez SSL (bezpieczeństwo). Dostęp z localhost nieszyfrowany (szybkość). Wyłączone logowanie anonimowe (trzeba podać user i password aby cokolwiek odczytać). 6. Lepsiejsze programy pocztowe mogą zapiąć się do LDAPa jako książki adresowej. (TB, kMail, _teoretycznie_ OE). 7. Evolution jako jedyny łączy się dwukierunkowo (nie tylko czyta i szuka, ale może dopisywać i modyfikować rekordy. Jak uprawnienia usera pozwalają, rzecz jasna)
Potrzebuję 1-2 godzinki żeby wszystko wstępnie skonfigurować i podnieść na poziomie serwera (klucze, katalogi, schematy, itd), resztę można robić już zdalnie z poziomu LDAP. Najnowsze wersje openldap (>=2.3) konfigurację samego serwera trzymają w LDAP, więc tym łatwiej zarządzać całością. To tyle. -- Pawel Kraszewski
