To, ze ldap musi navrhovat nekdo se 'zkusenostmi' jak pisete je problem tohoto nastroje.

Neřekl bych, že je potřeba mít o tolik víc znalostí než pro návrh kvalitního schématu relační databáze. Spíš bych řekl, že to bude naopak – u LDAPu tě vedou ty standardizovaná schémata (nejužitečnější vlastnost LDAPu), zatímco u návrhu schématu relační databáze autora většinou jen „selský rozum“, pocity jak by to „mělo vypadat“ (podle toho to pak dopadá) a v lepších případě zkušenosti a načtené teorie z knih. U LDAPu tam člověk vrzne ty struktury, které už vlastně dostal naservírované a nemá toho tolik co zkazit (jasně, třeba uspořádání toho stromu se dá zkazit, ale není tam taková volnost jako u relační DB).

Dřív jsem byl z LDAPu hodně nadšený, ale časem to vyprchalo. U jednodušších systémů je problém, že má člověk uživatele na jednom místě (LDAP) a ostatní data na jiném místě (např. SQL databáze) a mezi nimi nefunguje referenční integrita a záznamy je potřeba synchrozizovat. Také čím dál víc aplikací umí ověřování vůči SQL databázi, nejen vůči LDAPu. U složitých systémů se zase člověk nevyhne nějakému tomu IDM, takže pak zase není problém, aby aplikace měly svoje (relační) databáze uživatelů a IDM to všechno režíroval. LDAP se pak hodí hlavní pro nějakou tu prostřední kategorii (kdy ještě IDM není potřeba) a ta je celkem úzká. Asi nejzajímavější je mít data v relační DB a nastavit LDAP server tak, aby fungoval jako rozhraní k této SQL databázi pro aplikace, které LDAP potřebují – pak má člověk jak relační tak LDAPový přístup k uživatelům a data jsou na jednom místě.

1.) Fakta ... X.500 byl moc složitý, tak se nadefinoval protokol LDAP jako jeho odlehčená varianta, resp. původně jako protokol, který uměl k X.500 přistupovat. Nad X.500 sedělo hodně chytrých hlav, jinak by telekomunikace nebyly tam kde jsou, ale ještě bychom používali světelná návěstidla. Protokol je to léty prověřený, skvělou implementací X.500 je Novellovská NDS. A jelikož to byl svého času zdroj jejich obživy, nelze předpokládat, že by se tolik let zabývali naprostou cypovinou To samé je s MS Active Directory, Oracle Internet Directory apod. Jsou to enterprise řešení a samozřejmě si za to nechají řádně zaplatit. Pokud chcete "ušetřit", musíte si vše splácat sami. To, že X.500 a LDAP není tak známý a prosazovaný je dáno jeho použitím. S HTTP, SMTP a POP3/IMAP4 pracují denně nejen v práci, ale i doma. Doma si mohou vyzkoušet různé věci, ale X.500/LDAP není tak jednoduché vyzkoušet, vyžaduje dost znalostí okolo, např. jak napojit na LDAP SMTP/POP3/IMAP server, jak na něj napojit VOICP server apod. Nojo, ale to najednou nejsme u LDAP protokolu, ale museli jsme obsáhnout protokoly další. U SQL databází to je jednoduché, tam se vymyslí většinou nějaká jednoduchá tabulka do které se všechno ukládá a pak se použije PAM.

2.) K návrhu SQL taky přistupuje někdo ze zkušenostmi, nebo by aspoň měl. Pravdou je, že 3.NF zvládne bez větších obtíží každý, na to stačí selský rozum, navrhnout adresářový strom je trošku větší kumšt, člověk musí hodně uvažovat dopředu. Problém je, že všechno souvisí se vším a je velká potíž najít někoho, kdo se v systémech a jejich návaznostech vyzná. Mě osobně to přijde, že je tu plno lidí, kteří znají velmi dobře nějaký svůj kus z IT a ostatní je moc nezajímá. Je to jejich specializace, v té si hoví a bojí se kouknout "za plot" svých znalostí. Systémy mají navrhovat systémoví architekti a ne nějaký správce. Když se systémový architekt snaží dělat admina, je to katastrofa. Když se admin snaží dělat architekta, je to podobné ...

Jen bych rád podotkl a uvedl na správnou míru, že rozhodně nejsem politik, odborářský předák nebo nedejbože obchodník či absolvent práv a ekonomky.