这个月 OpenLDAP 项目庆祝了它的二十岁生日! 它的诞生年份是1998年 库尔特·利宁加 和其他人决定整合已在邮件列表和新闻组中传播的补丁,以改进最初的独立密歇根大学 LDAP 服务器代码 (slapd)。 Kurt Zeilenga 辞职后,Howard Chu 接任了该项目的首席架构师一职。 OpenLDAP 项目传统上遵循 Unix 设计理念“one job – one tool”。 在 Kurt Zeilenga 的领导下,作为“轻量级目录访问协议”(LDAP) 的参考实现的 OpenLDAP 的开发主要是由 Internet 草案和 RFC 推动的。 这种对开放性和互操作性的关注使该项目成为网络服务领域的一个重要里程碑,得到所有主要企业 Linux 发行版的支持,这些发行版将 OpenLDAP 作为其产品的维护组件。
内容
RedHat 和 SUSE 宣布取消对 OpenLDAP 的支持
不幸的是,自从 RedHat 和 SUSE 宣布在他们的 Enterprise Linux 产品中取消对 OpenLDAP 的支持,转而支持 RedHat 自己的 389 Directory Server (389-ds) 之后,这种情况将在今年发生变化。 在 SLE 15 的发行说明中向客户透露了这一消息。 389 目录服务器 该项目建立在可追溯到 1996 年的代码库上,当时 Netscape 与 LDAP 创始人 Tim Howes 和他在密歇根大学的一些前同事签约。 该代码库于 2004 年被 RedHat 收购,并在 Gnu Public License (GPL) 下作为开源发布和扩展。
OpenLDAP 1.0 本身诞生于 1998 年,源于社区在两年内收集的改进。 今天的代码在第二个主要版本中得到了很大的改进,以至于它与原始代码几乎没有任何共同之处。
389 Directory Server 的 GPL 许可源代码是两个独立产品的技术基础。 RedHat 一方面区分身份管理 (IdM) 解决方案 FreeIPA(Identity、Policy、Audit),另一方面区分“Red Hat Directory Server”(RHDS)。 后者推荐用于具有特殊要求的一般业务关键应用程序。 有关详细信息,请参阅以下链接。
- https://rhelblog.redhat.com/2015/06/01/identity-management-or-red-hat-directory-server-which-one-should-i-use/
- https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/linux_domain_identity_authentication_and_policy_guide/index#comparing
但是,对于 RHDS 产品的操作,您需要单独的支持订阅。 RedHat 决定只专注于 389-ds 必须在这种情况下才能看到。 根据此公告,RedHat Enterprise Linux 的下一个主要版本将不再支持 OpenLDAP,并且软件包“openldap-servers”已在 RHEL 7.4 中弃用(请参阅该公告中的“重要”段落)。
随着这一举措,使用 OpenLDAP 的 RedHat 客户不得不迁移到 389-ds(或 RHDS)或求助于第三方产品的 OpenLDAP 包以获得支持(例如 https://symas.com/message -president-regarding-red-hat-suse-removing-openldap-linux-distributions/ 和 https://daasi.de/en/2017/09/25/red-hat-wont-continue-openldap-support-rhel- 8-daasi-international-supports-migration/)。 社区维护的软件包将继续可用。
Univention采取不同的观点
自 2003 年以来 统一 支持企业使用的 OpenLDAP。 它是其产品 Univention Corporate Server (UCS) 的核心组件之一。 这是可能的,因为 OpenLDAP 一直保持着高度的专业性。 整个社区快速而专业地回应问题并提交补丁提案。 OpenLDAP 团队以大约 12-18 个月的速度发布功能版本,并根据需要穿插维护版本。 功能发布成熟期较长,不受发布截止日期的压力。 在这一点上,这些项目的工作方式类似于 Debian 等其他开源项目。 就产品发布计划而言,这对于分销商来说并不总是容易处理的,但是这些项目可以自由地以自己的方式决定何时考虑发布某些内容。
所有这些都是 Univention 向其企业用户推荐带有 OpenLDAP 的 UCS 的原因。 在法国电信提供商 Orange 运行的最大 UCS 部署中,OpenLDAP 为多达 3000 万个身份验证帐户提供服务,并证明了最大的可扩展性和稳定性。
基础技术的可靠性、性能和可扩展性是专业领域运营的关键标准。 从这个角度来看,Univention 认为,RedHat 和 SUSE 的决定很难证明其合理性。 389-ds 目前仍然依赖 Sleepycat Berkeley DB 后端,而 OpenLDAP 从 2.4 开始推荐现代 LMDB(闪电内存数据库)作为其后端。 No-SQL/Key-Value 数据库 LMDB 由自 2007 年以来一直担任 OpenLDAP 项目首席架构师的 Howard Chu 发明和开发。新的数据库后端特别具有无锁操作的特点,借鉴了伯克利数据库 (BDB) 的长期问题)。 与其他数据库技术相比,它实现了前所未有的性能提升,特别是在 LDAP 目录服务的使用配置文件方面,它通常侧重于读取而不是写入操作。
自 2014 年以来,Univention 还在其核心产品 Univention Corporate Server (UCS) 中切换到 LMDB 作为 OpenLDAP 后端。 根据 Univention 的经验,LMDB 为 OpenLDAP 打开了大门,以满足大规模高性能项目的要求。 事实上,LMDB 的健壮性和性能非常出色,以至于 Univention 在 2014 年决定用基于 LMDB 的实现替换其基于 BDB 的 LDAP 复制缓存。尽管 LMDB 的当前版本分支 0.9 已经证明具有令人信服的稳定性,但 1.0 系列将提供其他改进对于作为 OpenLDAP 的可靠后端至关重要。
OpenLDAP 项目本身的下一个重要里程碑将是 OpenLDAP 2.5 的发布。 OpenLDAP 2.5 宣布的一些特性已经将日光视为 2.4 系列的补丁级别更新,根据当前的路线图,它将在 2.4.47 完成。
非常感谢 OpenLDAP
Univention 非常感谢 OpenLDAP 项目及其开发人员的专业工作和对开源理念的承诺。 作为 Linux 分销商,Univention 怀着激动和信任期待在未来几年继续在基于 UCS 的项目中使用 OpenLDAP,为公共和私营公司和机构提供开放、可扩展和专业的软件解决方案,同时赋予选择自由和独立性供应商锁定。
这是 来自Univention的客座帖子. 作者的观点完全是他/她自己的,可能不反映 OSTechNix 的观点。
资源:
- https://lwn.net/Articles/755207/
- https://ldapcon.org/2017/wp-content/uploads/2017/08/12_Howard-CHU_20171019-LDAPCon.pdf
感谢您的光临!
帮助我们帮助您:
- 订阅我们的电子邮件通讯: 立即注册
- 支持 OSTechNix: 通过贝宝捐款
- 下载免费的电子书和视频: TradePub 上的 OSTechNix
- 联系我们: Facebook | 推特 | 谷歌加 | 领英 | RSS订阅
祝你有美好的一天!!
LDAPLinuxOpenLDAPRedhatRHELSUSEUCSunivention