Happy Birthday Karte

In diesem Monat kann das OpenLDAP Projekt seinen zwanzigsten Geburtstag feiern. Es wurde 1998 von Kurt Zeilenga und anderen ins Leben gerufen, um diverse Patches zu konsolidieren, die auf Mailinglisten und Newsgroups Verbreitung gefunden hatten, um den originalen Standalone LDAP Server Code (slapd) der University of Michigan zu verbessern. Nach Kurt Zeilenga übernahm Howard Chu die Position des “Chief Architect”. Die OpenLDAP Projektleitung ist traditionell stark der Unix-Philosophie “one job – one tool” verbunden. Unter Kurt Zeilengas Ägide wurde die Weiterentwicklung von OpenLDAP daher als Referenzimplementierung des “Lightweight Directory Access Protocol” (LDAP) primär klassisch mit Internet Drafts und RFCs vorangetrieben. Dieser Fokus auf Offenheit und Interoperabilität hat das Projekt zu einer wichtigen Landmarke in der Landschaft der Internet Dienste werden lassen und alle wichtigen Enterprise Linux Distributionen boten folglich OpenLDAP als supporteten Produktbestandteil.

RedHat und SUSE kündigen OpenLDAP Unterstützung

Leider ändert sich das in diesem Jahr, da RedHat und SUSE angekündigt haben, in ihren jeweiligen Enterprise Linux Angeboten ab sofort nur noch RedHats 389-Directory Server zu unterstützen. Entsprechende Notizen finden sich z. B. in den Release notes von SLE 15. Das 389 Directory Server Projekt geht zurück auf eine Code Basis aus dem Jahr 1996, als Netscape den LDAP-Erfinder, Tim Howes, und einige seiner früheren Kollegen von der University of Michigan eingestellt hat. Die Code-Basis wurde 2004 von RedHat übernommen, unter der Gnu Public License als Open Source freigegeben und weiterentwickelt. OpenLDAP 1.0 seinerseits wurde 1998 aus Verbesserungen geboren, die die Community im Laufe von ca. zwei Jahren zusammengetragen hatte. Der heutige Code hat im Zuge des zweiten Major-Releases so viele Verbesserungen erfahren, dass er heute kaum noch etwas gemein mit dem Code von damals hat.

Der unter GPL stehende Quellcode des 389 Directory Service bildet die technologische Basis für zwei unterschiedliche Angebote. RedHat unterscheidet zwischen der in RHEL enthaltenen „Identity Management“ (IdM) Lösung FreeIPA (Identity, Policy, Audit) einerseits und dem „Red Hat Directory Server“ (RHDS) andererseits. Letzterer wird für generellere Business-kritische Anwendungen mit besonderen Anforderungen empfohlen, siehe:

Für den Betrieb des Produkts „Red Hat Directory Server“ ist jedoch zusätzlich eine kommerzielle Subskription erforderlich. RedHats Entscheidung, sich ausschließlich auf 389-ds zu konzentrieren, ist im Kontext dieser Entwicklungen zu sehen. Laut dieser Ankündigung wird OpenLDAP im kommenden Major Release von RedHat Enterprise Linux nicht mehr unterstützt werden und das Software-Paket „openldap-servers“ wird schon in RHEL 7.4 nicht mehr empfohlen (siehe in der obigen Ankündigung den Punkt „Important“). Damit sind RedHat Kunden, die OpenLDAP einsetzen, auf eine Migration angewiesen – entweder zu den von RedHat empfohlenen Lösungen „389-ds“ (bzw. „Red Hat Directory Server“), oder aber zu OpenLDAP-Paketen von Dritt-Anbietern wie zum Beispiel von Symas oder DAASI International.

Wie Univention zu OpenLDAP steht

Wir von Univention nutzen OpenLDAP bereits seit 2003 für den Einsatz in Enterprise-Umgebungen und es ist einer der zentralen Bestandteile unseres Univention Corporate Server (UCS). Das geht, weil OpenLDAP schon immer mit einem hohen Grad an Professionalität gepflegt wurde. Die gesamte Community reagiert schnell und professionell sowohl auf Fragen als auch auf Patches. Das Team hinter OpenLDAP veröffentlicht neue Feature-Releases in einem lockeren Abstand von 12-18 Monaten und Maintainance-Updates nach Bedarf. Die Feature-Releases reifen lange und werden nicht unter dem Druck von Release-Deadlines veröffentlicht. In diesem Punkt verhält sich das Projekt ähnlich zu Open Source Projekten wie Debian. Das ist für Distributoren nicht immer leicht, was die langfristige Planung von Produkt Releases angeht, aber es liegt in der Freiheit solcher Projekte, nach eigener Abwägung zu entscheiden, wann etwas als release-fertig angesehen wird.

Alles Gründe, warum wir UCS mit OpenLDAP selbstverständlich auch unseren Enterprise Nutzern empfehlen. In der größten Umgebung, in der diese Kombination zum Einsatz kommt, dem französischen Telekommunikationsanbieter Orange, ist OpenLDAP für bis zu 30 Millionen Authentifikationskonten zuständig und hat sich dabei als höchst skalierbar und stabil bewiesen. Siehe hierfür die folgenden zwei Blogartikel:




Denn die Verlässlichkeit, Performanz und Skalierbarkeit der Basis-Technologie ist entscheidendes Kriterium für den Einsatz in professionellen Umgebungen. Aus dieser Perspektive ist die Entscheidung von RedHat und SUSE für uns nur schwer nachzuvollziehen. Als Datenbackend setzt 389-ds aktuell noch auf Sleepycat Berkely DB, während OpenLDAP seit der Version 2.4 das modernere LMDB (Lightning Memory Database) Backend propagiert. Die No-SQL/Key-Value Datenbank LMDB wurde von Howard Chu konzipiert und entwickelt, der seit 2007 Haupt-Architekt des OpenLDAP Projekts ist. Das neue Datenbank-Backend zeichnet sich besonders dadurch aus, dass es ohne Datenbank-Locks auskommt und erreicht damit deutliche Performancegewinne im Vergleich zu anderen Datenbank-Technologien, insbesondere bei dem Anforderungsprofil von LDAP-Verzeichnisdiensten, deren Fokus häufig eher auf Lese- als auf Schreiboperationen liegt.

Seit 2014 verwenden auch wir die „Lightning Memory-Mapped Database“ (LMDB) in UCS als OpenLDAP-Backend. In der Praxis hat LMDB die Tür für den performanten Einsatz von OpenLDAP in Großprojekten weit geöffnet. Die Robustheit und Performanz von LMDB ist so beeindruckend, dass Univention sich 2014 entschieden hat, den eigenen BDB-basierten LDAP-Replikations-Cache auch durch eine LMDB-basierte Implementierung zu ersetzen. Auch wenn der in UCS eingesetzte aktuelle Versionszweig 0.9 von LMDB schon überzeugende Stabilität bewiesen hat, wird LMDB 1.0 weitere Verbeserungen liefern, die widerum als Fundament für OpenLDAP entscheidend sind.

Als nächster großer Meilenstein für das OpenLDAP Projekt selbst steht die Produktionsreife von OpenLDAP 2.5 bevor. Manches schon 2015 für OpenLDAP 2.5 angekündigte Feature wurde dann doch schon im Zuge der Patchlevel-Updates der 2.4er Serie herausgebracht, die nach aktueller Planung mit 2.4.47 abgeschlossen werden soll.

Großes Dankeschön an OpenLDAP

Wir von Univention danken dem OpenLDAP Projekt und seinen Entwicklern für die jahrelange professionelle Arbeit im Dienste der Open Source Idee. Wir freuen uns schon darauf, diese professionelle Lösung auch in den nächsten Jahren für Projektimplementierungen mit UCS zu nutzen und so Unternehmen eine offene, skalierbare und professionelle Software bieten zu können und ihnen gleichzeitig weitgehende Wahlfreiheit und Herstellerunabhängigkeit zu ermöglichen.

Quellen:
LWN.net: What’s coming in OpenLDAP 2.5
LDAP Con: What’s New in OpenLDAP

Wir freuen uns über Ihr Feedback!

Arvid Requate ist Open Source Software Engineer bei Univention und hauptsächlich im Bereich Directory Services, Authentifikation und Samba tätig.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.