Tento měsíc slaví projekt OpenLDAP své dvacáté narozeniny! Jeho rok narození je 1998, kdy Kurt Zeilenga a další se rozhodli konsolidovat záplaty, které byly rozšířeny na e-mailových konferencích a diskusních skupinách, aby vylepšili původní kód samostatného serveru LDAP (slapd) University of Michigan. Poté, co Kurt Zeilenga odstoupil, převzal roli hlavního architekta projektu Howard Chu. Projekt OpenLDAP se tradičně řídí unixovou designovou filozofií „jedna práce – jeden nástroj“. Pod vedením Kurta Zeilengy byl vývoj OpenLDAP jako referenční implementace „Lightweight Directory Access Protocol“ (LDAP) řízen především internetovými koncepty a RFC. Toto zaměření na otevřenost a interoperabilitu proměnilo projekt v důležitý mezník v oblasti síťových služeb, podporovaný všemi hlavními podnikovými distribucemi Linuxu, které nabízely OpenLDAP jako udržovanou součást svých produktů.
RedHat a SUSE oznámily ukončení podpory pro OpenLDAP
Bohužel se to letos změní, protože RedHat a SUSE oznámily zrušení podpory OpenLDAP ve svých nabídkách Enterprise Linux ve prospěch vlastního 389 Directory Server (389-ds) společnosti RedHat. Tato zpráva byla zákazníkům oznámena v poznámkách k vydání SLE 15. 389 Directory Server projekt je postaven na kódové základně z roku 1996, kdy Netscape uzavřel smlouvu se zakladatelem LDAP Timem Howesem a některými z jeho bývalých kolegů z University of Michigan. Tato kódová základna byla získána v roce 2004 společností RedHat a vydána a rozšířena jako Open Source pod Gnu Public License (GPL).
Samotný OpenLDAP 1.0 se zrodil v roce 1998 z vylepšení, která komunita shromáždila během dvou let. Dnešní kód byl s druhým hlavním vydáním vylepšen natolik, že s původním kódem nemá téměř nic společného.
Zdrojový kód 389 Directory Server licencovaný GPL je technologickým základem dvou samostatných nabídek. RedHat rozlišuje mezi řešením správy identit (IdM) FreeIPA (Identity, Policy, Audit) na jedné straně a „Red Hat Directory Server“ (RHDS) na straně druhé. Poslední jmenovaný je doporučen pro obecné obchodní kritické aplikace se speciálními požadavky. Další podrobnosti naleznete na následujících odkazech.
- https://rhelblog.redhat.com/2015/06/01/identity-management-or-red-hat-directory-server-which-one-should-i-use/
- https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/linux_domain_identity_authentication_and_policy_guide/index#comparing
Pro provoz produktu RHDS však potřebujete samostatné předplatné podpory. Rozhodnutí RedHat zaměřit se pouze na 389-ds je třeba vidět v tomto kontextu. Podle tohoto oznámení již nebude OpenLDAP podporováno v příštím hlavním vydání RedHat Enterprise Linux a softwarový balíček „openldap-servers“ je již v RHEL 7.4 zastaralý (viz odstavec „Důležité“ v tomto oznámení).
Díky tomuto kroku jsou zákazníci RedHat používající OpenLDAP vrženi do situace, kdy musí buď přejít na 389-ds (nebo RHDS), nebo se pro podporu uchýlit k OpenLDAP balíčkům nabídek třetích stran (např. https://symas.com/message -prezident-regarding-red-hat-suse-removing-openldap-linux-distributions/ a https://daasi.de/en/2017/09/25/red-hat-wont-continue-openldap-support-rhel- 8-daasi-international-supports-migration/). Komunitou spravované balíčky budou i nadále dostupné.
Univention má jiný pohled
Od roku 2003 Univence podporuje OpenLDAP pro podnikové použití. Je to jedna z ústředních součástí jejich produktu Univention Corporate Server (UCS). To je možné, protože OpenLDAP byl vždy udržován s vysokou mírou profesionality. Celá komunita rychle a profesionálně reaguje na dotazy a předložené návrhy oprav. Tým OpenLDAP dodává verze funkcí v tempu zhruba 12-18 měsíců, které jsou podle potřeby proloženy vydáními údržby. Verze funkce dozrávají dlouhou dobu a nejsou vázány tlakem termínů vydání. V tomto bodě projekty fungují podobně jako jiné open source projekty, jako je Debian. To není vždy snadné pro distributory z hlediska plánování vydání produktu, ale je to svoboda takových projektů rozhodnout se podle vlastního uvážení, kdy je něco považováno za připravené k vydání.
To vše jsou důvody, proč společnost Univention doporučuje UCS s OpenLDAP také jejich podnikovým uživatelům. V největším nasazení UCS, které provozuje francouzský poskytovatel telekomunikací Orange, OpenLDAP obsluhuje až 30 milionů autentizačních účtů a prokázal maximální škálovatelnost a stabilitu.
Spolehlivost, výkon a škálovatelnost základní technologie je zásadním kritériem pro provoz v profesionálních oblastech. Z tohoto pohledu, jak tvrdí Univention, je rozhodnutí RedHat a SUSE těžko ospravedlnitelné. 389-ds v současnosti stále spoléhá na backend Sleepycat Berkeley DB, zatímco OpenLDAP od verze 2.4 doporučuje jako svůj backend moderní LMDB (Lightning Memory Database). Databáze No-SQL/Key-Value LMDB byla vynalezena a vyvinuta Howardem Chuem, který je hlavním architektem projektu OpenLDAP od roku 2007. Nový databázový backend se vyznačuje zejména bezzámkovým provozem, poučením z dlouhodobých problémů Berkeley DB (BDB ). Dosahuje nebývalého nárůstu výkonu ve srovnání s jinými databázovými technologiemi, zejména s ohledem na profil využití adresářových služeb LDAP, které se často zaměřují spíše na operace čtení než zápisu.
Od roku 2014 Univention také přešla na LMDB jako OpenLDAP backend ve svém základním produktu Univention Corporate Server (UCS). Podle zkušeností Univention otevřela LMDB dveře OpenLDAP, aby splnila požadavky na vysoce výkonné projekty v měřítku. Ve skutečnosti je robustnost a výkon LMDB tak pozoruhodný, že se společnost Univention rozhodla v roce 2014 nahradit svou vlastní replikační mezipaměť LDAP založenou na BDB implementací založenou na LMDB. Přestože současná verze LMDB 0.9 již prokázala přesvědčivou stabilitu, řada 1.0 přinese další vylepšení, která budou zásadní jako solidní backend pro OpenLDAP.
Dalším velkým milníkem pro samotný projekt OpenLDAP bude vydání OpenLDAP 2.5. Některé z funkcí oznámených pro OpenLDAP 2.5 již spatřily světlo světa jako aktualizace patchlevel pro řadu 2.4, která bude dokončena do 2.4.47 podle aktuálního plánu.
Velké díky OpenLDAP
Univention by ráda poděkovala projektu OpenLDAP a jeho vývojářům za profesionální práci a oddanost nápadu open source. Jako distributor Linuxu se Univention těší s nadšením a důvěrou, že bude v nadcházejících letech pokračovat v používání OpenLDAP v projektech založených na UCS a nabídne veřejným a soukromým korporacím a institucím otevřené, škálovatelné a profesionální softwarové řešení a zároveň posílí svobodu volby a nezávislost na uzamčení dodavatele.
Toto je příspěvek hosta z Univention . Názory autora jsou zcela jeho/její vlastní a nemusí odrážet názory OSTechNix.