In diesem Monat kann das OpenLDAP Projekt seinen zwanzigsten Geburtstag feiern. Es wurde 1998 von Kurt Zeilenga und anderen ins Leben gerufen, um diverse Patches zu konsolidieren, die auf Mailinglisten und Newsgroups Verbreitung gefunden hatten, um den originalen Standalone LDAP Server Code (slapd) der University of Michigan zu verbessern. Nach Kurt Zeilenga übernahm Howard Chu die Position des “Chief Architect”. Die OpenLDAP Projektleitung ist traditionell stark der Unix-Philosophie “one job – one tool” verbunden. Unter Kurt Zeilengas Ägide wurde die Weiterentwicklung von OpenLDAP daher als Referenzimplementierung des “Lightweight Directory Access Protocol” (LDAP) primär klassisch mit Internet Drafts und RFCs vorangetrieben. Dieser Fokus auf Offenheit und Interoperabilität hat das Projekt zu einer wichtigen Landmarke in der Landschaft der Internet Dienste werden lassen und alle wichtigen Enterprise Linux Distributionen boten folglich OpenLDAP als supporteten Produktbestandteil.
RedHat und SUSE kündigen OpenLDAP Unterstützung
Leider ändert sich das in diesem Jahr, da RedHat und SUSE angekündigt haben, in ihren jeweiligen Enterprise Linux Angeboten ab sofort nur noch RedHats 389-Directory Server zu unterstützen. Entsprechende Notizen finden sich z. B. in den Release notes von SLE 15. Das 389 Directory Server Projekt geht zurück auf eine Code Basis aus dem Jahr 1996, als Netscape den LDAP-Erfinder, Tim Howes, und einige seiner früheren Kollegen von der University of Michigan eingestellt hat. Die Code-Basis wurde 2004 von RedHat übernommen, unter der Gnu Public License als Open Source freigegeben und weiterentwickelt. OpenLDAP 1.0 seinerseits wurde 1998 aus Verbesserungen geboren, die die Community im Laufe von ca. zwei Jahren zusammengetragen hatte. Der heutige Code hat im Zuge des zweiten Major-Releases so viele Verbesserungen erfahren, dass er heute kaum noch etwas gemein mit dem Code von damals hat.
Der unter GPL stehende Quellcode des 389 Directory Service bildet die technologische Basis für zwei unterschiedliche Angebote. RedHat unterscheidet zwischen der in RHEL enthaltenen „Identity Management“ (IdM) Lösung FreeIPA (Identity, Policy, Audit) einerseits und dem „Red Hat Directory Server“ (RHDS) andererseits. Letzterer wird für generellere Business-kritische Anwendungen mit besonderen Anforderungen empfohlen, siehe:
- Identity Management or Red Hat Directory Server – Which One Should I Use?
- Contrasting Identity Management with a Standard LDAP Directory
- What’s different between IdM (Identity Manager) bundled with RHEL and Directory Server?
Für den Betrieb des Produkts „Red Hat Directory Server“ ist jedoch zusätzlich eine kommerzielle Subskription erforderlich. RedHats Entscheidung, sich ausschließlich auf 389-ds zu konzentrieren, ist im Kontext dieser Entwicklungen zu sehen. Laut dieser Ankündigung wird OpenLDAP im kommenden Major Release von RedHat Enterprise Linux nicht mehr unterstützt werden und das Software-Paket „openldap-servers“ wird schon in RHEL 7.4 nicht mehr empfohlen (siehe in der obigen Ankündigung den Punkt „Important“). Damit sind RedHat Kunden, die OpenLDAP einsetzen, auf eine Migration angewiesen – entweder zu den von RedHat empfohlenen Lösungen „389-ds“ (bzw. „Red Hat Directory Server“), oder aber zu OpenLDAP-Paketen von Dritt-Anbietern wie zum Beispiel von Symas oder DAASI International.
Wie Univention zu OpenLDAP steht
Wir von Univention nutzen OpenLDAP bereits seit 2003 für den Einsatz in Enterprise-Umgebungen und es ist einer der zentralen Bestandteile unseres Univention Corporate Server (UCS). Das geht, weil OpenLDAP schon immer mit einem hohen Grad an Professionalität gepflegt wurde. Die gesamte Community reagiert schnell und professionell sowohl auf Fragen als auch auf Patches. Das Team hinter OpenLDAP veröffentlicht neue Feature-Releases in einem lockeren Abstand von 12-18 Monaten und Maintainance-Updates nach Bedarf. Die Feature-Releases reifen lange und werden nicht unter dem Druck von Release-Deadlines veröffentlicht. In diesem Punkt verhält sich das Projekt ähnlich zu Open Source Projekten wie Debian. Das ist für Distributoren nicht immer leicht, was die langfristige Planung von Produkt Releases angeht, aber es liegt in der Freiheit solcher Projekte, nach eigener Abwägung zu entscheiden, wann etwas als release-fertig angesehen wird.
Alles Gründe, warum wir UCS mit OpenLDAP selbstverständlich auch unseren Enterprise Nutzern empfehlen. In der größten Umgebung, in der diese Kombination zum Einsatz kommt, dem französischen Telekommunikationsanbieter Orange, ist OpenLDAP für bis zu 30 Millionen Authentifikationskonten zuständig und hat sich dabei als höchst skalierbar und stabil bewiesen. Siehe hierfür die folgenden zwei Blogartikel: