From clem.oudot at gmail.com Thu Jun 24 10:04:06 2010 From: clem.oudot at gmail.com (=?ISO-8859-1?Q?Cl=E9ment_OUDOT?=) Date: Thu, 24 Jun 2010 10:04:06 +0200 Subject: [LDAPGTF] Article "Faut-il sacrifier LDAP ?" Message-ID: Pour info : http://www.securityvibes.com/ldap-system-identity-jsaiz-news-3003660.html Pas beaucoup de matière et des arguments légers... Votre avis ? Clément. From Ludovic.Poitou at Sun.COM Thu Jun 24 10:15:46 2010 From: Ludovic.Poitou at Sun.COM (Ludovic Poitou) Date: Thu, 24 Jun 2010 10:15:46 +0200 Subject: [LDAPGTF] Article "Faut-il sacrifier LDAP ?" In-Reply-To: References: Message-ID: Salut, Pour la matière et les arguments, il faut regarder et écouter ce que fait Kim Cameron avec System.identity. Je pense qu'il y a des besoins de services au dessus de LDAP pour fédérer les annuaires entre les entreprises, tout en respectant les contraintes de données privées et confidentielles. Est-ce que System.identity sera LA solution ? Je ne sais pas, c'est trop tôt pour le dire et surtout, les descriptions sont très générales et les spécifications par encore formalisées. A suivre ! Ludovic. On Jun 24, 2010, at 10:04 AM, Clément OUDOT wrote: > Pour info : > http://www.securityvibes.com/ldap-system-identity-jsaiz-news-3003660.html > > Pas beaucoup de matière et des arguments légers... Votre avis ? > > Clément. > _______________________________________________ > LDAPGTF mailing list > LDAPGTF at lists.ldapgtf.org > http://ldapgtf.org/mailman/listinfo/ldapgtf --- Ludovic Poitou Sun Microsystems Inc. OpenDS Community Manager Directory Services http://blogs.sun.com/Ludo/ Grenoble Engineering Center - France OpenDS, the Java LDAP Directory Server http://www.opends.org From elecharny at gmail.com Thu Jun 24 10:50:04 2010 From: elecharny at gmail.com (Emmanuel Lecharny) Date: Thu, 24 Jun 2010 10:50:04 +0200 Subject: [LDAPGTF] Article "Faut-il sacrifier LDAP ?" In-Reply-To: References: Message-ID: <4C231C3C.8000400@gmail.com> On 6/24/10 10:15 AM, Ludovic Poitou wrote: > Salut, > > Pour la matière et les arguments, il faut regarder et écouter ce que fait Kim Cameron avec System.identity. > Je pense qu'il y a des besoins de services au dessus de LDAP pour fédérer les annuaires entre les entreprises, tout en respectant les contraintes de données privées et confidentielles. > Est-ce que System.identity sera LA solution ? Je ne sais pas, c'est trop tôt pour le dire et surtout, les descriptions sont très générales et les spécifications par encore formalisées. > A suivre ! > Je rejoins Ludo. Il me semble que cet article ne fait que poser des questions générales, sans apporter de réponses. Quelques points cependant méritent une réponse : - concernant les hiérarchies multiples : les spécifications LDAP permettent tout à fait de disposer de plusieurs hiérarchies (NameSpace), chacune disposant de son propre schéma. ce n'est pas parce que M$ n'a pas implémenté la spec dans sa totalité que celle ci est lacunaire... - concernant la répartition des données sur plusieurs bases : il existe des système (Referrals) permettant d'atteindre plusieurs bases, et par ailleurs, la RFC 4533 décrit comment doit s'effectuer la réplication de server à server (MMR), sachant que cette réplication peut ne porter que sur un sous-ensemble de la hiérarchie d'un serveur. Par ailleurs, s'il s'agit de récupérer des informations éparses pour une entrée, sans dupliquer ces informations, les alias sont la solution Je ne suis pas sûr que les points critiqués soient réellement pertinents, en tout cas dans l'article français. Maintenant, si on regarde LDAP et si on essaye de voir ce qui pourrait être améliorer, il est assez rapide de définir une liste (non exhaustive) de ce qui rend la vie difficile aux utilisateurs et administrateurs : - un schéma trop complexe. Au lieu de définir des types de base (int, char, structure), on dispose juste d'un ensemble de syntaxes limité qui n'est pas adapté à la réalité de ce que l'on veut stocker. De plus, il n'y a pas de mécanisme standard de définition de nouvelles syntaxes. - une réplication non standardisée jusqu'à 2006, et non encore implémentée (sauf par OpenLDAP et avec douleur par ApacheDS). Par aileurs, cette réplication ne porte que sur les entrées, sans gérer les modifications concurrentes sur une entrée - pas de mode transactionnel - pas de gestion des accès aux données standardisée En ce qui me concerne, je considère que les points 2 et 4 sont les plus pénalisants. Le point 1 est clairement un obstacle, mais cela n'empêche pas de vivre, sachant que l'on ne modifie pas sont schéma tous les jours... Il y a beaucoup à dire sur les bases LDAP, il y a certainement de la place pour quelque chose de plus 'moderne', mais il semble quand même que depuis bientôt 20 ans que X500 a vu le jour, il n'y a pas eu tant d'évolution que cela, c'est peut-être la preuve que le système est à peu près stabilisé... Quand à un big-bang, un peu type le mouvement no-sql, un no-ldap en qq sorte,j e pense qu'il aura du mal à prendre, et s'il prend, ce sera comme no-sql : un jour ou l'autre, on reviendra en arrière. C'est périodique, l'homme a toujours envie de faire la révolution, mais après avoir fait son 360, il revient sur ses pas ... (avec juste la tête qui tourne pendant quelques temps ;) -- Regards, Cordialement, Emmanuel Lécharny www.nextury.com From fanf42 at gmail.com Thu Jun 24 11:11:34 2010 From: fanf42 at gmail.com (Francois) Date: Thu, 24 Jun 2010 11:11:34 +0200 Subject: [LDAPGTF] Article "Faut-il sacrifier LDAP ?" In-Reply-To: <4C231C3C.8000400@gmail.com> References: <4C231C3C.8000400@gmail.com> Message-ID: <4C232146.6030702@gmail.com> On 24/06/2010 10:50, Emmanuel Lecharny wrote: > Quand à un big-bang, un peu type le mouvement no-sql, un no-ldap en qq > sorte,j e pense qu'il aura du mal à prendre, et s'il prend, ce sera > comme no-sql : un jour ou l'autre, on reviendra en arrière. C'est > périodique, l'homme a toujours envie de faire la révolution, mais après > avoir fait son 360, il revient sur ses pas ... (avec juste la tête qui > tourne pendant quelques temps ;) Juste une remarque sur ce dernier point: c'est big-bang périodique me semble nécessaire, ce sont de périodes ou va tester les choses autrement, ou beaucoup de nouvelles idées sont mises en pratique, beaucoup de choses inventées. Ensuite, évidemment, vient le moment des comptes, et en général seul quelques pourcent survivent - mais peut être que ces quelques pourcent seront vraiment révolutionnaire, et seront vraiment utiles, même pour les anciens. Je pense que NoSQL (pour No Only SQL, hein) ne va pas déroger à la règle. Déjà, il a eu le mérite de montrer qu'en effet, il n'y avait pas *que* les RDBMS. Et que suivant ses données, ses uses cases, on avait le droit de se poser la question du système de stockage, que ce n'était pas mal ni hérétique. Ensuite il a montré par effet rebond que les RDBMS ne se limitaient pas à MySQL et Oracle, et qu'il existe des moteurs modernes qui scalent bien suivant certaines condition. Enfin, il a montré que le domaine de la réplication des données en était au tout début, qu'il y avait une partie théorique qui ne demandait qu'à être étudié, et ca a mené a des algorithme déjà classique sur la consistance in fine de données distribuées (cf l'article des gens d'amazone qui ont fait Dynamo: http://www.allthingsdistributed.com/2008/12/eventually_consistent.html ) Bref, ces bigbang sont bons, il ne faut simplement pas succomber aux sirènes de la nouveauté trop vite... -- Francois ARMAND http://fanf42.blogspot.com http://www.normation.com From jonathan at phillipoux.net Thu Jun 24 12:30:04 2010 From: jonathan at phillipoux.net (Jonathan Clarke) Date: Thu, 24 Jun 2010 12:30:04 +0200 Subject: [LDAPGTF] Article "Faut-il sacrifier LDAP ?" In-Reply-To: <4C231C3C.8000400@gmail.com> References: <4C231C3C.8000400@gmail.com> Message-ID: <4C2333AC.6040808@phillipoux.net> On 24/06/2010 10:50, Emmanuel Lecharny wrote: > On 6/24/10 10:15 AM, Ludovic Poitou wrote: >> Salut, >> >> Pour la matière et les arguments, il faut regarder et écouter ce que >> fait Kim Cameron avec System.identity. >> Je pense qu'il y a des besoins de services au dessus de LDAP pour >> fédérer les annuaires entre les entreprises, tout en respectant les >> contraintes de données privées et confidentielles. >> Est-ce que System.identity sera LA solution ? Je ne sais pas, c'est >> trop tôt pour le dire et surtout, les descriptions sont très générales >> et les spécifications par encore formalisées. >> A suivre ! > > Je rejoins Ludo. > > Il me semble que cet article ne fait que poser des questions générales, > sans apporter de réponses. Quelques points cependant méritent une réponse : > > - concernant les hiérarchies multiples : > les spécifications LDAP permettent tout à fait de disposer de plusieurs > hiérarchies (NameSpace), chacune disposant de son propre schéma. ce > n'est pas parce que M$ n'a pas implémenté la spec dans sa totalité que > celle ci est lacunaire... > > - concernant la répartition des données sur plusieurs bases : > il existe des système (Referrals) permettant d'atteindre plusieurs > bases, et par ailleurs, la RFC 4533 décrit comment doit s'effectuer la > réplication de server à server (MMR), sachant que cette réplication peut > ne porter que sur un sous-ensemble de la hiérarchie d'un serveur. Par > ailleurs, s'il s'agit de récupérer des informations éparses pour une > entrée, sans dupliquer ces informations, les alias sont la solution > > Je ne suis pas sûr que les points critiqués soient réellement > pertinents, en tout cas dans l'article français. Je te rejoins là-dessus. L'article de Kuppinger parle d'abord de system.identity, qui, à ce que j'en comprends, vise surtout à définir une sorte de schéma global, un moyen un peu mieux de définir les types de données, leur usage, etc. Pour autant, il a tourné son article de telle façon à mettre en avant "LDAP c'est peut-être fini", intégrant dedans des faiblesses de LDAP qui n'en sont pas vraiment (sauf le schéma, bien sûr). Ne serait-ce pas qu'un coup de pub par Kuppinger, pour faire parler un peu de son cabinet d'analyse ? Jon -- -------------------------------------------------------------- Jonathan Clarke - jonathan at phillipoux.net -------------------------------------------------------------- Ldap Synchronization Connector (LSC) - http://lsc-project.org -------------------------------------------------------------- From elecharny at gmail.com Thu Jun 24 12:32:39 2010 From: elecharny at gmail.com (Emmanuel Lecharny) Date: Thu, 24 Jun 2010 12:32:39 +0200 Subject: [LDAPGTF] Article "Faut-il sacrifier LDAP ?" In-Reply-To: <4C232146.6030702@gmail.com> References: <4C231C3C.8000400@gmail.com> <4C232146.6030702@gmail.com> Message-ID: <4C233447.8030703@gmail.com> On 6/24/10 11:11 AM, Francois wrote: > On 24/06/2010 10:50, Emmanuel Lecharny wrote: >> Quand à un big-bang, un peu type le mouvement no-sql, un no-ldap en qq >> sorte,j e pense qu'il aura du mal à prendre, et s'il prend, ce sera >> comme no-sql : un jour ou l'autre, on reviendra en arrière. C'est >> périodique, l'homme a toujours envie de faire la révolution, mais après >> avoir fait son 360, il revient sur ses pas ... (avec juste la tête qui >> tourne pendant quelques temps ;) > > > Juste une remarque sur ce dernier point: c'est big-bang périodique me > semble nécessaire, ce sont de périodes ou va tester les choses > autrement, ou beaucoup de nouvelles idées sont mises en pratique, > beaucoup de choses inventées. Ensuite, évidemment, vient le moment des > comptes, et en général seul quelques pourcent survivent - mais peut > être que ces quelques pourcent seront vraiment révolutionnaire, et > seront vraiment utiles, même pour les anciens. Je ne le nie pas. Il faut juste se méfier des mauvaises idées... Mais comme je suis sceptique par nature, ma réaction ne t'a pas étonné ;) > > Je pense que NoSQL (pour No Only SQL, hein) ne va pas déroger à la > règle. Déjà, il a eu le mérite de montrer qu'en effet, il n'y avait > pas *que* les RDBMS. Et que suivant ses données, ses uses cases, on > avait le droit de se poser la question du système de stockage, que ce > n'était pas mal ni hérétique. Ensuite il a montré par effet rebond que > les RDBMS ne se limitaient pas à MySQL et Oracle, et qu'il existe des > moteurs modernes qui scalent bien suivant certaines condition. Ce qui me semble très sein dans ce mouvement (et ce en quoi il diffère de pas mal d'autres buzz), c'est qu'il pose effectiement de *bonne* questions, et surtout qu'i a fait ses preuves à grande échelle. > Enfin, il a montré que le domaine de la réplication des données en > était au tout début, qu'il y avait une partie théorique qui ne > demandait qu'à être étudié, et ca a mené a des algorithme déjà > classique sur la consistance in fine de données distribuées (cf > l'article des gens d'amazone qui ont fait Dynamo: > http://www.allthingsdistributed.com/2008/12/eventually_consistent.html ) Alors bizarrement, comme je me suis intéressé à toutes ces problématiques il y a peu de temps (ApacheDS dispose d'un backend HBase aujourd'hui), les algorithmes de réplications massifs ont été décrit il y a des années. Il ne faut pas se méprendre :ll sont les mêmes que ceux qui sont utilisés dans les RDBMS, car ils s'appliquent parfaitement à la réplication des index. Au final, on en revient à la base : les BTrees et la réplication des BTrees :) On pourrait en discuter des heures, c'est assez passionnant ! (en tout cas plus que les réultats et les querelles au sein de l' "équipe" de France ;( ) -- Regards, Cordialement, Emmanuel Lécharny www.nextury.com From elecharny at apache.org Thu Jun 24 12:35:15 2010 From: elecharny at apache.org (=?ISO-8859-1?Q?Emmanuel_L=E9charny?=) Date: Thu, 24 Jun 2010 12:35:15 +0200 Subject: [LDAPGTF] Article "Faut-il sacrifier LDAP ?" In-Reply-To: <4C2333AC.6040808@phillipoux.net> References: <4C231C3C.8000400@gmail.com> <4C2333AC.6040808@phillipoux.net> Message-ID: <4C2334E3.6050801@apache.org> On 6/24/10 12:30 PM, Jonathan Clarke wrote: > > Ne serait-ce pas qu'un coup de pub par Kuppinger, pour faire parler un > peu de son cabinet d'analyse ? Bah, si, bien sûr... Mais ça fait parti du jeu :) Après tout, "SQL c'est peut-être fini", "Windows, c'est peut-être fini", "Java c'est peut-être fini" c'est toujours accrocheur. Par contre, "le mondial pour les bleus, c'est surement fini", ça c'est 100% vrai :) -- Regards, Cordialement, Emmanuel Lécharny www.nextury.com