RedHat и SUSE объявили о прекращении поддержки OpenLDAP

В этом месяце проект OpenLDAP отмечает свое двадцатилетие! Год его рождения — 1998, когда Курт Зейленга и другие решили объединить исправления, которые были распространены в списках рассылки и группах новостей, чтобы улучшить исходный автономный код LDAP-сервера Мичиганского университета (slapd). После того как Курт Зейленга подал в отставку, роль главного архитектора проекта взял на себя Говард Чу. Проект OpenLDAP традиционно следует философии проектирования Unix «одна работа - один инструмент». Под руководством Курта Зейленги разработка OpenLDAP как эталонной реализации «Облегченного протокола доступа к каталогам» (LDAP) в первую очередь была обусловлена проектами Интернета и RFC. Такой акцент на открытости и совместимости превратил проект в важную веху в сфере сетевых сервисов, поскольку он поддерживается всеми основными корпоративными дистрибутивами Linux, которые предлагали OpenLDAP в качестве поддерживаемого компонента своих продуктов.

RedHat и SUSE объявили о прекращении поддержки OpenLDAP

К сожалению, в этом году ситуация изменится, поскольку RedHat и SUSE объявили об отказе от поддержки OpenLDAP в своих предложениях Enterprise Linux в пользу собственного 389 Directory Server (389-ds) RedHat. Эта новость была доведена до сведения клиентов в примечаниях к выпуску SLE 15. Проект 389 Directory Server построен на кодовой базе, созданной в 1996 году, когда Netscape заключила контракт с основателем LDAP Тимом Хоузом и некоторыми его бывшие коллеги из Мичиганского университета. Эта база кода была приобретена RedHat в 2004 году и выпущена и расширена как открытый исходный код под лицензией Gnu Public License (GPL).

Сам OpenLDAP 1.0 родился в 1998 году из улучшений, которые сообщество собирало в течение двух лет. Сегодняшний код был настолько улучшен во втором основном выпуске, что почти не имеет ничего общего с исходным кодом.

Исходный код 389 Directory Server, лицензированный по лицензии GPL, является технологической основой двух отдельных предложений. RedHat различает решение для управления идентификацией (IdM) FreeIPA (Identity, Policy, Audit), с одной стороны, и «Red Hat Directory Server» (RHDS) — с другой. Последний рекомендуется для общих критически важных бизнес-приложений с особыми требованиями. Для получения более подробной информации перейдите по следующим ссылкам.

• https://rheblog.redhat.com/2015/06/01/identity-management-or-red-hat-directory-server-that-one-should-i-use/
• https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/linux_domain_identity_authentication_and_policy_guide/index#comparing

Однако для работы продукта RHDS необходима отдельная подписка на поддержку. Решение RedHat сосредоточиться исключительно на 389-ds следует рассматривать именно в этом контексте. Согласно этому объявлению, OpenLDAP больше не будет поддерживаться в следующем основном выпуске RedHat Enterprise Linux, а программный пакет «openldap-servers» уже устарел в RHEL 7.4 (см. параграф «Важно» в этом объявлении).

В результате этого шага клиенты RedHat, использующие OpenLDAP, оказываются в ситуации, когда им придется либо перейти на 389-ds (или RHDS), либо прибегнуть к пакетам OpenLDAP сторонних предложений для поддержки (например, https://symas.com/message). -president-regarding-red-hat-suse-removing-openldap-linux-distributions/ и https://daasi.de/en/2017/09/25/red-hat-wont-continue-openldap-support-rhel- 8-дааси-международная-поддерживает-миграцию/). Пакеты, поддерживаемые сообществом, будут по-прежнему доступны.

Univention придерживается иной точки зрения

С 2003 года Univent поддерживает OpenLDAP для корпоративного использования. Это один из центральных компонентов их продукта Univention Corporate Server (UCS). Это возможно, поскольку OpenLDAP всегда поддерживался с высокой степенью профессионализма. Все сообщество быстро и профессионально отвечает на вопросы и отправляет предложения по исправлению. Команда OpenLDAP выпускает функциональные выпуски примерно в течение 12-18 месяцев, чередуясь с выпусками обслуживания по мере необходимости. Релизы функций созревают в течение длительного времени и не привязаны к срокам выпуска. В этом отношении проекты работают аналогично другим проектам с открытым исходным кодом, таким как Debian. Дистрибьюторам не всегда легко справиться с планированием выпуска продукта, но такие проекты имеют право самостоятельно решать, когда что-то считать готовым к выпуску.

Все это является причинами, по которым Univention рекомендует UCS с OpenLDAP также своим корпоративным пользователям. В крупнейшем развертывании UCS, проводимом французским телекоммуникационным провайдером Orange, OpenLDAP обслуживает до 30 миллионов учетных записей аутентификации и доказал высочайшую масштабируемость и стабильность.

Надежность, производительность и масштабируемость базовой технологии являются важнейшим критерием для работы в профессиональных сферах. С этой точки зрения, как утверждает Univention, решение RedHat и SUSE трудно оправдать. 389-ds в настоящее время по-прежнему использует серверную часть Sleepycat Berkeley DB, в то время как OpenLDAP, начиная с версии 2.4, рекомендует в качестве серверной части современную LMDB (база данных памяти Lightning). База данных LMDB без SQL/ключевого значения была изобретена и разработана Говардом Чу, который является главным архитектором проекта OpenLDAP с 2007 года. Новая серверная часть базы данных особенно отличается работой без блокировок и учитывает давние проблемы Berkeley DB (BDB). ). Он обеспечивает беспрецедентный прирост производительности по сравнению с другими технологиями баз данных, особенно в отношении профиля использования служб каталогов LDAP, которые часто фокусируются скорее на операциях чтения, чем на записи.

С 2014 года Univention также перешла на LMDB в качестве бэкэнда OpenLDAP в своем основном продукте Univention Corporate Server (UCS). Согласно опыту Univention, LMDB открыла двери OpenLDAP для удовлетворения требований масштабных высокопроизводительных проектов. Фактически, надежность и производительность LMDB настолько замечательны, что в 2014 году Univention решила заменить свой собственный кэш репликации LDAP на основе BDB реализацией на основе LMDB. Хотя текущая версия LMDB 0.9 уже доказала убедительную стабильность, серия 1.0 обеспечит дополнительные улучшения, которые будут иметь решающее значение для надежной серверной части OpenLDAP.

Следующей важной вехой для самого проекта OpenLDAP станет выпуск OpenLDAP 2.5. Некоторые из функций, анонсированных в OpenLDAP 2.5, уже были реализованы в виде обновления уровня патча для серии 2.4, которое будет завершено к версии 2.4.47 в соответствии с текущей дорожной картой.

Большое спасибо OpenLDAP.

Univention благодарит проект OpenLDAP и его разработчиков за профессиональную работу и приверженность идее открытого исходного кода. Как дистрибьютор Linux, Univention с волнением и доверием ожидает продолжения использования OpenLDAP в проектах на базе UCS в ближайшие годы, предлагая государственным и частным корпорациям и учреждениям открытое, масштабируемое и профессиональное программное решение, одновременно предоставляя свободу выбора и независимость блокировки поставщиков.

Это гостевой пост от Univention. Взгляды автора полностью принадлежат ему и могут не отражать точку зрения OSTechNix.

Ресурсы:

• https://lwn.net/Articles/755207/
• https://ldapcon.org/2017/wp-content/uploads/2017/08/12_Howard-CHU_20171019-LDAPCon.pdf